Incidentul de securitate pe înțelesul tuturor. Prevenire și management adecvat.

Share on facebook
Share on google
Share on twitter
Share on linkedin
5/5

Până în prezent în România au fost date patru amenzi pentru nerespectarea GDPR. Primele trei amenzi au fost date pentru absența măsurilor tehnice și organizatorice adecvate și pentru breșele de securitate aferente. Pentru prevenirea și managementul adecvat al incidentelor de securitate, politicile și procedurile care trebuie actualizate constant și implementate la nivel de companie.

Ca să respectăm GDPR trebuie să știm să recunoaștem un incident de securitate pentru a-l putea preveni sau a recționa potrivit la el.

Un incident de securitate este definit de #GDPR drept „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”. Așa cum rezultă din definiție, incidentele de securitate nu sunt doar despre furtul sau pierderea datelor personale!

Exemple de incidente de securitate:

  • accesul neautorizat la datele cu caracter personal (de exemplu, o persoană străină are acces la datele cu caracter personal ale companiei, un hacker ne accesează dispozitivul, un angajat pleacă cu baza de date a clienților pe un stick, cineva ne află datele de acces în credențialele de acces pe site, cineva neautorizat ne accesează e-mailul etc);
  • trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de exemplu, utilizând funcția de autocomplete din outlook/gmail putem trimite un e-mail către ioana.popescu@domeniu.ro în loc de ioana.ionescu@domeniu.ro);
  • dispozitive care conțin date personale (laptopuri, tablete, smartphone-uri) au fost pierdute sau furate;
  • alterarea/modificarea datelor cu caracter personal fără permisiune;
  • imposibilitatea de a accesa bazele de date.

 

 

Ce ar trebui să știm:

Trebuie să avem măsuri tehnice (de securitate) și organizatorice (politici, proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.

Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile aferente trebuie nu doar redactate, dar și implementate la nivel de companie. O serie de politici și proceduri pentru respectarea GDPR, prevenirea și managamentul adecvat al incidentelor de securitate se regăsesc în KIT-ul nostru de implementare. 

Trebuie să ne asigurăm că toate entitățile terțe cu care colaborăm (inclusiv PFA-uri) prezintă garanții suficiente pentru securitatea datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze anumite contracte prin care se reglementează protecția datelor. Chestionare pentru verificarea persoanelor împuternicite și modele de acorduri de prelucrare se regăsesc aici. 

Cu alte cuvinte, toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate, firme de mentență IT, HR etc) trebuie auditați că respectă GDPR și au măsuri de securitate adecvate.

De asemenea, cu acești parteneri de afaceri trebuie să avem semnate acorduri scrise prin care reglementăm protecția datelor și respectarea drepturilor persoanelor fizice.

Dacă aveți calitatea de persoană împuternicită (de exemplu, sunteți firmă de IT, contabilitate, HR, avocatură etc) trebuie să vă așteptați la cerințe suplimentare din partea clienților și ar trebui să propuneți chiar dvs. încheierea acestor contracte.

În calitate operator, răspundem pentru incidentele cauzate prin acțiunile sau inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permitem accesul la date dacă nu am implementat măsuri tehnice și organizatorice adecvate (ex: măsuri de securitate, acorduri de confidențialitate, politici de securitate, training-uri, acorduri cu persoanele împuternicite etc). În unele cazuri, putem răspunde chiar și pentru faptele foștilor angajați sau foștilor colaboratori dacă nu am luat măsuri adecvate. 

✅ Cu angajații și cu partenerii de afaceri trebuie încheiate acorduri de confidențialitate și trebuie să efectuăm training-ul intern la angajaților și să îi responsabilizăm să protejeze datele. Un model de acord de confidențialitate se regăsește aici. 

✅Dacă am fost sancționați de ANSPDCP, dar culpa este a altei persoane, ne putem îndrepta cu acțiune în răspundere civilă delictuală pentru recuperarea prejudiciului.

✅Avem 72 de ore de la descoperirea incidentului pentru notificarea incidentelor de securitate către ANSPDCP și/sau către persoanele vizate.

✅Nu orice incident de securitate se notifică, ci se va notifica incidentul către ANSPDCP incidentul care prezintă un risc persoanele vizate, iar persoanele vizate vor fi notificate dacă există un risc ridicat.

✅ Incidentul de securitate se notifică completând online acest formular: https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true

✅Orice incident de securitate trebuie adus la cunoștința responsabilului cu protecția datelor sau persoanei desemnate cu această resposabilitate.

✅Indiferent de risc, orice incident se securitate ar trebui documentat intern, de exemplu, intr-un registru al incidentelor de securitate.

✅Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură pentru managementul adecvat al incidentelor de securitate și să fie desemnată o echipă de răspuns la incident, cu roluri și responsabilități bine stabilite. Aceste proceduri se regăsesc aici.

Câteva lucruri în plus:

  • Lipsa notificării ANSPDCP și/sau a persoanelor vizate poate fi sancționată cu amendă care poate ajunge până la 4% din cifra de afaceri.
  • Chiar dacă notificați în termen, atâta timp cât nu ați luat măsuri adecvate, compania poate fi amendată. De observat că a doua amendă GDPR a fost dată ca urmare a unei notificări trimise la ANSPDCP de însăși compania în cauză.
  • Personalul ar trebui să știe cum să evite un incident de securitate și cum să îl recunoască, de aceea recomandăm training-ul intern. În acest sens vă recomandăm cursul nostru online care poate fi urmat de personalul companiei pentru a înțelege cerințele GDPR.

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

 

LegalUp

LegalUp

Despre LegalUp

LegalUp Innovators at Law. Creativi, vizionari și inovatori, noi avem cea mai bună soluție acolo unde tehnologia se intersectează cu dreptul.

Articole recente

Fii la curent cu noi

Servicii și produse recomandate

Vreau să fiu la curent cu articolele LegalUp

Prin abonarea la newsletter, declari că ai peste 16 ani, că ai citit și că ești de acord cu Politica de confidențialitate 

  • Pachet GDPR supraveghere video (CCTV)

    700lei
  • KIT GDPR magazin online

    600lei
  • Termeni si conditii magazin online

    450lei
  • Analiză interes legitim monitorizare CCTV

    150lei
  • Regulamentul General privind Protectia Datelor (GDPR) pe întelesul tău. Sinteză teoretică și recomandări practice. Carte GDPR

    97lei
  • Politică de confidentialitate pentru site/magazin online

    250lei
incidentul-de-securitate-pe-nelesul-tuturor-prevenire-i-management-adecvat

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord