Exemple privind notificarea încălcării securității datelor personale
De Mugurel Olariu, RPD protectie date
Comitetul European pentru Protecția Datelor – CEPD, a adoptat în ședința din 14 decembrie 2021 versiunea 2.0 a Ghidului 1/2021 cu Exemple privind Notificarea de încălcare a securității datelor cu caracter personal. Menționăm că acesta a fost adoptat în vesiunea 1.0 la 14.01.2021, pentru consultare publică.
De asemenea, facem precizarea că demersul în discuție, este derulat în continuarea eforturilor Grupului de lucru art.29 – WP29, respectiv Avizul 3/2014 privind Notificarea privind încălcarea datelor cu caracter personal – WP 213 și al Liniilor directoare privind încălcarea datelor cu caracter personal notificare în temeiul Regulamentului 2016/679 – WP 250 – adoptate pe 3 oct. 2017, revizuite pe 16 feb. 2018, pentru a clarifica cât mai bine această problematică.
Acest document este destinat să completeze Orientările WP 250 și reflectă elementele comune experiențe ale autorităților de supraveghere din SEE de când RGPD a devenit aplicabil. Scopul său este de a ajuta operatorii de date în a decide cum să gestioneze încălcările de securitate a datelor și ce factori să ia în considerare în timpul evaluării riscurilor.
Ca parte a oricărei încercări de abordare/tratare a unei încălcări, operatorul ar trebui mai întâi să poată recunoaște una. RGPD definește o „încălcare a securității datelor cu caracter personal” la articolul 4 alineatul (12) ca „o încălcare a securității care duce la accidental sau distrugerea ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod ”.
Încălcările de securitate pot fi clasificate în conformitate cu următoarele trei categorii de principii de securitate bine cunoscute:
● „Încălcarea confidențialității” – în cazul în care există o divulgare neautorizată sau accidentală sau acces la datele personale.
● „Încălcarea integrității” – în cazul în care există o modificare neautorizată sau accidentală a datelor cu caracter personal.
● „Încălcarea disponibilității” – în cazul în care există o pierdere accidentală sau neautorizată a accesului sau distrugerea datelor personale.
O încălcare poate avea o serie de efecte adverse semnificative asupra persoanelor, care pot avea ca rezultat daune fizice, materiale sau nemateriale. RGPD explică faptul că aceasta poate include pierderea controlului asupra datelor lor personale, limitarea drepturilor lor, discriminare, furt de identitate sau fraudă, pierderi financiare, inversarea neautorizată a pseudonimizării, deteriorarea reputației și pierderea confidențialității datelor cu caracter personal protejate prin secret profesional. Poate include, de asemenea, orice alt aspect economic sau dezavantaj social semnificativ pentru acei indivizi. Una dintre cele mai importante obligații ale operatorului de date este să evalueze aceste riscuri pentru drepturile și libertățile persoanelor vizate și să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a le aborda/trata.
Ghidul 1/2021, aduce în atenție șase categorii de încălcări a securității datelor, respectiv: atacurile ransomware, atacuri prin extragerea datelor, sursa internă de risc uman, dispozitivele și documentele pierdute sau furate, eroarea poștală și alte cazuri de inginerie socială cu furtul de identitate și extragerea e-mailului.
Principiul responsabilității și conceptul de protecție a datelor prin proiectare ar putea include analize care se concretizează în propriul „Manual de gestionare a încălcării securității datelor cu caracter personal” al unui operator de date care are ca scop stabilirea situațiilor posibile în fiecare etapă majoră a prelucrării. Un astfel de manual pregătit în prealabil ar oferi o sursă de informații mult mai rapidă pentru a permite operatorilor de date să reducă riscurile și să îndeplinească obligațiile fără întârzieri nejustificate. Acest lucru ar asigura că dacă încălcarea a securității datelor s-a produs, personalul din organizație ar ști ce să facă, iar incidentul ar fi tratat probabil mai repede decât dacă nu ar exista măsuri de remediere sau planuri în vigoare.
Deși cazurile prezentate în Ghidul 1/2021 sunt fictive, ele se bazează pe cazuri tipice de notificări privind încălcarea securității datelor colectate din experiența practică a autorităților naționale de supraveghere. Analizele oferite se referă în mod explicit la cazuri sub control, dar cu scopul de a oferi asistență operatorilor de date în evaluarea propriilor încălcări de securitate a datelor.
Orice modificare a circumstanțelor cazurilor descrise poate avea ca rezultat diferite sau niveluri mai semnificative de risc, necesitând astfel măsuri diferite sau suplimentare. Acest ghid structurează cazurile în funcție de anumite categorii de încălcări (de exemplu, atacuri ransomware). Sunt necesare măsuri de remediere specifice în fiecare caz atunci când se tratează o anumită categorie de încălcări. Aceste măsuri nu se repetă neapărat pentru fiecare caz din analiză care aparține aceleiași categorii de încălcări. Pentru cazurile care aparțin aceleiași categorii sunt stabilite doar diferențele. Prin urmare, operatorul ar trebui să citească toate cazurile relevante pentru categoria în discuție a unei încălcări pentru a identifica și distinge toate măsurile corecte care trebuie luate.
Documentația internă a unei încălcări este o obligație independentă de riscurile aferente încălcare și trebuie efectuată în fiecare caz. Cazurile prezentate în cuprinsul ghidului încearcă să clarifice dacă se notifică sau nu încălcarea către Autoritatea Națională de Supraveghere și când se comunică informarea persoanelor vizate afectate.
Cele 18 exemple date sunt structurate pe prezentarea ipotezei de lucru, secțiuni de măsuri prealabile și evaluarea riscului, respectiv a măsurilor de remediere și o schemă a obligațiilor operatorului și ale persoanei împuternicite. Obligațiile sunt prezentate schematic prin bife cu referire concretă la acțiunile de documentație intenă, de notificare a autorității de supraveghere și respectiv de informare a persoanei vizate.
Totodată, avem în vedere tandemul de lucru operator de date – persoană împuternicită, care potrivit art.33 alin.(2)[1] din RGPD instituie obligația de înștiințare a operatorului, fără întârzieri nejustificate, de către persoana împuternicită.
––––––––––––––––––––
[1] Art.33 din RGPD – (2) Persoana împuternicită de operator înştiinţează operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
