O breșă de securitate înseamnă riscuri pentru persoanele fizice ale căror date au fost compromise, riscuri reputaționale și riscul de a fi amendat de ANSPDCP. O breșă de securitate înseamnă panică, însă gestionarea cu succes te poate feri de riscuri, așa cum voi explica în cele ce urmează. Totuși, când vorbim de breșe de securitate, cel mai bine este să le previi prin luarea unor măsuri tehnice și organizatorice adecvate. Dar ce se întâmplă în situația în care nu ai luat astfel de măsuri și ai o breșă de securitate? Primul și cel mai important element este să îți păstrezi calmul. Știu, sunt doar 72 de ore și amenzile pot ajunge până la 4% din cifra de afaceri, iar tu trebuie să notifici corect autoritatea de supraveghere. Dar deciziile rapide te pot conduce către riscuri reputaționale și/sau amenzi din partea ANSPDCP.
Te-ar putea interesa și:
Sfat #1. Analizează riscul
Potrivit GDPR, nu orice breșă de securitate trebuie notificată către ANSPDCP, ci doar breșele care prezintă risc pentru drepturile persoanelor fizice. Incidentele de securitate care prezintă riscuri ridicate trebuie notificate atât către ANSPDCP, cât și pentru persoanele vizate. Dacă nu ai implementat o procedură pentru gestionarea incidentelor de securitate (o astfel de procedură se regăsește aici), este indicat să iei rapid legătura cu un consultant GDPR pentru a afla dacă este nevoie să notifici. De ce ai notifica un incident care nu prezintă risc și a risca o investigație dacă nu este cazul?
Totuși, orice incident de securitate, chiar dacă nu prezintă riscuri și nu trebuie notificat trebuie documentat intern. (un model de registru al breșelor de securitate se regăsește aici)
Sfat #2. Notifică ANSPDCP corect
Utilizează formularul disponibil pe site-ul ANSPDCP pentru a notifica în mod legal incidentul. Dacă incidentul prezintă riscuri ridicate pentru persoanele vizate, notifică-le și pe acestea (un model de formular de notificare către persoanele vizate se regăsește aici). Reține că ai doar 72 de ore de la descoperirea incidentului și dacă nu ai suficiente informații, trebuie să revii ulterior cu informațiile pe care le-ai obținut.
Sfat #3. Nu notifica ANSPDCP dacă ești persoană împuternicită
Conform GDPR, persoanele împuternicite nu trebuie să notifice autoritatea, ci operatorul, prin urmare, trebuie să notifici fără întârziere operatorul cu privire la breșa de securitate.
Sfat #4. Nu te grăbi în decizii
Deși ai doar 72 de ore, nu te grăbi atunci când completezi formularele. La urma-urmei, nu ai vrea ca notificarea să aducă organizației tale mai mult rău decât bine. Dacă unele informații nu îți sunt clare, păstrează-le pentru mai târziu când se vor clarifica și notifică doar informațiile sigure.
KIT GDPR Premium
Sfat #5. Prioritizează
Deși ai putea crede că cel mai important este să transmiți notificarea către ANSPDCP, adevărul e că cel mai important și primul lucru pe care trebuie să îl faci (după ce te calmezi, evident) este să iei măsuri pentru reducerea riscurilor pentru persoanele vizate. Oricum, către ANSPDCP trebuie să explici ce măsuri ai luat. Luarea acestor măsuri va conta la decizia finală: dacă vei primi un avertisment sau o amendă și, în cazul amenzii, dacă va fi orientată spre minim sau spre maxim.
Sfat #6. Înțelege consecințele
Dacă ai o breșă de securitate nu înseamnă automat că vei primi o amendă, dar deschiderea unei investigații este probabilă. Amenda o vei primi dacă nu ai luat măsuri tehnice și organizatorice adecvate pentru evitarea acestor evenimente neplăcute (astfel de măsuri se regăsesc aici). Dacă breșa s-a produs ca urmare a faptei tale, de exemplu, nu ai oferit un training adecvat angajaților sau nu ai încheiat acorduri de confidențialitate, sunt șanse mari să primești o amendă, însă, dacă breșa de securitate este urmarea unui eveniment extern față de care, deși ai luat toate măsurile pentru prevenire, s-a întâmplat, este posibil ca dosarul să se închidă sau să primești doar un avertisment. Cu toate acestea, pentru a evita amenzile trebui să implementezi măsuri tehnice și organizatorice și să le îmbunătățești în mod constant. În lipsa unor măsuri tehnice și organizatorice, riscul de a primi o amendă este ridicat. Măsurile de securitate ar trebuie implementate pentru a preveni incidentul de securitate până nu e prea târziu.
Cum te putem ajuta: