Ce trebuie sa faca o companie in cazul in care are loc o incalcare a securitatii datelor personale - prezentare la EMEA Conferences.

1. GDPR – încălcări ale securității
datelor – câteva detalii
Prezentare EMEA Conferences
Ce trebuie să facă o companie în cazul în care are loc o
încălcare a securităţii datelor
Bogdan Manolea
25.03.2019

2. De 20 de ani axat exclusiv pe
aspecte de legislatie & ITC
De 11 ani activ pe zona de
drepturi civile digitale
De 11 ani jurizez magazine
online
De 6 ani promovez încrederea
în comerț online prin
Trusted.ro
Despre mine

3. Breșa de securitate a datelor
Definiție:
„încălcarea securității datelor cu caracter personal”
înseamnă o încălcare a securității care duce, în mod
accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea neautorizată a datelor
cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul
neautorizat la acestea

4. Securitatea datelor
(1) Având în vedere stadiul actual al dezvoltării,
costurile implementării și natura, domeniul de
aplicare, contextul și scopurile prelucrării, precum și
riscul cu diferite grade de probabilitate și gravitate
pentru drepturile și libertățile persoanelor fizice,
operatorul și persoana împuternicită de acesta
implementează măsuri tehnice și organizatorice
adecvate în vederea asigurării unui nivel de
securitate corespunzător acestui risc, incluzând
printre altele, după caz:

5. Notificarea unei breșe de securitate
obligație pentru toți operatorii de date personale
notificarea autorității (72 de ore, dacă este posibil)
+evidență
Cu informarea persoanei vizate, dacă există risc ridicat
pentru drepturile persoanelor – Excepție – date criptate;

6. Număr de notificări – Comisia (jan 2019)

7. Număr de notificări – GDPR Today (nov
2018)

8. Breșă de securitate pași

Identificarea încălcărilor de securitate

Documentarea și înregistrarea încălcării securității

Identificarea riscului pentru persoanele vizate

Notificări legale (Autoritate și persoane vizate, dacă
este cazul)

9. Posibile măsuri de evitare a raportării
Adoptarea măsurilor de securitate care nu necesită
notificarea (nu există risc pentru persoane), cum ar fi:
● Colectarea de date deja disponibile public
● Date criptate (bine)
● Date neinteligibile pentru terțe părți (pseudonimizare?)
Dar în orice caz trebuie documentate!
● Dispoziții contractuale precise cu împuterniciții (inclusiv
posibilitatea de a face notificarea în locul operatorului)

10. Când “ia la cunoștiința” un operator?
- are “un grad rezonabil de certitudine” că s-a produs un incident de
securitate care a condus la compromiterea datelor cu caracter personal.
Exemple:
- intruziune in sistemul informatic, cunoscută de operator
- cerere de răscumpărare de la un atacator
- pierderea unui memory stick cu date necriptate
- un terț vă anunță că a primit accidental date personale de la operator
Important! – cercetarea inițială nu intră in termenul de “luat la cunoștiință”

11. Când “ia la cunoștiința” un operator? (2)
Relația cu împuternicitul:
- Împuternicitul trebuie să notifice “„fără întârzieri nejustificate”
operatorul. WP29 recomandă sa fie “de îndată”, fara a sugera
un termen.
- Doar din momentul notificării operatorului poate începe
termenul de 72 de ore.
- Alte detalii pot fi stabilite contractual.
- Există posibilitatea de a lăsa împuternicitul sa facă notificarea
(în numele operatorului)

12. Excepții de la 72 de ore
1. Notificarea în etape – Art 33 (4)
„Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate”.
Termenul de 72 de ore se consideră pâna la prima notificare
2. Notificare amânată, cu motivarea întârzierii
- Notificări Grupate (doar pentru aceleași tipuri de date cu caracter personal afectate
în același mod, într-un interval de timp relativ scurt)
- Mai multe incălcări într-o perioadă scurtă de timp
- Din investigația inițială rezultă alte încalcări cu cauze diferite
- Alte motive (ex. rezolvarea problemei de securitate)

13. Riscuri ridicate pt încălcări?
Art 29 WP
- tipul de încălcare
- natura, sensibilitatea și volumul datelor cu caracter personal
- Ușurința identificării persoanelor
- Gravitatea consecințelor pentru persoane (în special furt sau fraudă de
identitate, stres psihologic, umilire sau compromiterea reputației)
- Caracteristici speciale ale persoanei vizate (copii, persoane vulnerabile)
- Caracteristici speciale ale operatorului de date (spital vs. ziar)
- Numărul persoanelor vizate

14. Riscuri ridicate pt încălcări?
Art 29 WP – exemple

Date furate dintr-un serviciu online – în funcție de natura datelor + consecințe
deosebit de grave

Atac informatice cu ransomware, toate datele criptata, făra backup – în funcție de
natura datelor + consecințele lipsei de disponibilitate

Datele unui număr mare de studenți sunt trimise în mod eronat către lista de
corespondență greșită cu peste 1 000 de destinatari – în funcție de domeniu,
gravitate și consecințe

Un marketplace online suferă un atac și atacatorul publica online numele
utilizatorilor, parolele si istoricul achizițiilor

Dosarele medicale dintr-un spital nu sunt disponibile pentru perioada de 30 de ore
din cauza unui atac cibernetic

15. Riscuri ridicate pt încălcări?
ENISA
SE = DPC X EI + CB
DPC = Data Processing Context
EI = Ease of Identification
CB = Circumstances of the breach
SE = Severity