La baza prelucrării datelor cu caracter personal trebuie să stea evitarea pe cât posibil a riscurilor de securitate cu privire la acele date, impune Regulamentul european privind protecția datelor cu caracter personal (GDPR). Chiar dacă sunt anumite tipuri de incidente de securitate a datelor ce nu pot fi prevenite așa ușor, operatorii de astfel de date trebuie să știe că GDPR-ul le impune și unele măsuri de reacție la astfel de evenimente.
Documentarea acestor incidente este o chestiune absolut necesară, iar uneori poate fi incidentă și obligația de a anunța autoritatea de supraveghere a datelor și persoana vizată cu privire la producerea acelei breșe de securitate.
Riscurile cu privire la securitatea datelor cu caracter personal trebuie să fie avute serios în vedere de operatorii de astfel de date și de persoanele împuternicite de aceștia, GDPR-ul arătând că e necesar a fi luate măsuri tehnice și organizatorice adecvate pentru a le evita pe cât posibil. Vorbim despre incidente, dar și despre riscuri aduse de acțiuni ilegale, vorbim de accidente precum pierderea unor date sau divulgarea neautorizată și nu numai.
Trebuie reținut că unul dintre principiile de bază la prelucrarea datelor cu caracter personal este chiar prelucrarea lor într-un mod care să asigure securitatea acestora.
În regulamentul european se vorbește despre luarea unor măsuri precum: pseudonimizarea și criptarea datelor cu caracter personal, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică ori un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
Cum transmitem date la cererea autorităților
„Se pot transmite date cu caracter personal pe care le prelucrează ca operatori către autorități publice doar dacă și în măsura în care, în principal: a) aceasta se manifestă într-o obligație legală pentru aceștia; b) autoritatea care solicită aceste informații are competență în domeniu, verificată în prealabil de către consultantul căreia i se solicită transferul; c) consultantul asigură un nivel de protecție adecvat al datelor prelucrate și astfel transmise; d) transferul se realizează cu respectarea principiilor prevăzute de GDPR și sintetizate în art. 5 din acesta: legalitate, echitate și transparență; principiul limitării transferului în funcție de scop; principiul reducerii la minimum a datelor transferate; principiul exactității datelor; principiul limitării legate de stocarea datelor; principiul asigurării integrității și confidențialității datelor; principiul responsabilității”.
Ce e de făcut când a avut loc o breșă de securitate?
În primul rând, GDPR-ul califică drept breșă de securitate o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea. De pildă, sunt considerate breșe de securitate atacurile informatice tip ransomware (recentul WannaCry), pierderea cheii de criptare a datelor, nefuncționarea sistemelor informatice, pierderea unor documente, transmiterea unei corespondențe la adresa greșită ș.a.
„Chiar dacă art. 33 din Regulament nu o prevede în mod expres, formele de exercitare trebuie să implementeze măsuri tehnice și organizatorice care, în cazul apariției unei breșe de securitate, asigură componenta reactivă a politicilor interne privind securitatea datelor„, punctează UNBR.
Astfel de măsuri ar trebui să-i permită operatorului de date (consultantul) să stabilească imediat dacă s-a produs o breșă de securitate, dacă e cazul să notifice autoritatea de supraveghere a prelucrării datelor cu caracter personal, dacă e cazul să informeze persoana sau persoanele vizate de acele breșe de securitate. Iar documentarea breșelor de securitate este obligatorie, potrivit GDPR.
„Este foarte important ca orice consultanti, în calitatea lor de operatori, să se asigure că indiferent de cauza acesteia și forma în care se manifestă, apariția unei breșe de securitate este identificată imediat și adusă în mod corespunzător la cunoștința persoanelor competente să implementeze măsurile care se impun”.
Nu orice fel de breșă de securitate trebuie notificată însă autorității de supraveghere a datelor, ci trebuie analizată situația concretă, pentru că nu întotdeauna e vorba de riscuri pentru drepturile și libertăților persoanelor vizate de prelucrări.
„Exemplu: pierderea unor date cu caracter personal criptate cu un algoritm de criptare complex nu este susceptibilă să genereze riscuri pentru drepturile și libertățile persoanelor vizate, atât timp cât criptarea asigură că datele nu pot fi accesate de persoane neautorizate. Totuși, dacă datele nu sunt criptate, pierderea acestora ar trebui notificată”.
Cât despre informarea persoanei sau persoanelor vizate, nici aici nu trebuie făcută de fiecare dată, ci doar atunci când riscul pentru drepturile și libertățile persoanei/persoanelor este unul ridicat.