Ce este o breșă de securitate?
O breșă de securitate reprezintă orice situație care a generat sau generează una sau mai multe încălcări ale protocoalelor de securitate privind datele personale stocate de un anumit operator. Se poate vorbi despre o breșă de securitate atunci când datele cu caracter personal sunt distruse, pierdute, modificate, divulgate sau accesate fără autorizație într-un mod nelegal sau accidental. Aceste incidente nedorite pot afecta confidențialitatea, integritatea și disponibilitatea datelor personale și pot reprezenta o amenințare gravă din perspectiva drepturilor persoanelor vizate.
Care sunt riscurile în cazul apariției unei breșe de securitate?
Apariția unei breșe de securitate poate avea consecințe grave atât pentru persoanele vizate, cât și pentru compania ori operatorul în cauză. Printre riscurile majore pot fi menționate următoarele:
a. Expunerea datelor personale: Breșa de securitate poate conduce în mod inevitabil la expunerea datelor personale ale clienților, angajaților, colaboratorilor sau ale altor părți interesate.
b. Frauda și infracțiunile cibernetice: Datele personale sau bazele de date compromise pot fi utilizate de către persoane neautorizate pentru activități frauduloase, cum ar fi furtul de identitate, frauda fiscală sau alte tipuri de infracțiuni cibernetice.
c. Încălcarea drepturilor persoanelor vizate: Breșa de securitate conduce în mod direct la încălcarea drepturilor fundamentale ale persoanelor vizate, cum ar fi dreptul la intimitate și protecția datelor personale.
d. Sancționarea operatorului: În conformitate cu reglementările aplicabile atât la nivel european, cât și la nivel național, operatorilor le pot fi aplicate amenzi substanțiale pentru încălcarea cerințelor privind asigurarea și menținerea securitatății datelor.
Reacția operatorului în cazul unei breșe de securitate.
Conform reglementărilor aplicabile, compania care a suferit o breșă de securitate este responsabilă să anunțe autoritatea de protecție a datelor în termen de 72 de ore de la constatarea incidentului, cu excepția cazurilor în care breșa de securitate nu prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. De asemenea, în cazul în care breșa de securitate prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, acestea trebuie să fie informate în mod corespunzător și prompt despre incident.
Ce măsuri trebuie adoptate în cazul intervenirii unei breșe de securitate?
În cazul în care a intervenit o breșă de securitate, operatorul trebuie să acționeze prompt și eficient pentru a minimiza riscurile și consecințele incidentului. Printre măsurile cheie merită amintite următoarele:
a. Investigarea incidentului: Operatorul trebuie să efectueze o investigație amănunțită pentru a identifica cauzele și impactul breșei de securitate, precum și modalitatea optimă de a întrerupe accesul ilegal sau accidental la datele personale, în măsura în care incidentul este încă în curs de desfășurare.
b. Notificarea autorității competente de protecție a datelor: Dacă breșa prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate, operatorul are obligația de a raporta incidentul către autoritatea de protecție a datelor în termenul de cel mult 72 de ore.
c. Informarea persoanelor vizate: Persoanele ale căror date au fost vizate de un astfel de incident trebuie să fie informate în mod corespunzător despre breșă și despre măsurile pe care le pot lua pentru a-și proteja datele.
d. Implementarea promptă a măsurilor corective: Operatorul trebuie să implementeze măsuri corective pentru a preveni incidente similare în viitor și pentru a asigura conformarea cu normele directoare impuse sau recomandate de către autoritatea cu atribuții în domeniul protecției datelor personale.
Cum se poate proteja un operator împotriva breșelor de securitate?
Având în vedere volatilitatea mediului online și multiplele riscuri existente cu privire la siguranța și securitatea sistemelor informatice, breșele de securitate pot interveni în orice moment, uneori în modalități neprevăzute în niciun plan ori procedură, ori utilizând procedee nemaiîntâlnite până la acel moment. În acest context, operatorilor le revine obligața de a asigura un nivel cât mai ridicat de securitate a datelor cu caracter personal pe care le stochează/prelucrează.
Astfel, câteva măsuri recomandate operatorilor sunt următoarele:
a. Implementarea măsurilor corecte de securitate: Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal și pentru a preveni accesul neautorizat ori accidental la acestea.
b. Pregătirea personalului: Operatorii ar trebui să ofere sau să asigure accesul la programe de formare privind securitatea datelor pentru personalul propriu, cu scopul de a preveni erorile umane care pot conduce la breșe de securitate.
c. Procedurile de audit și evaluările periodice: Operatorii pot efectua audituri și evaluări periodice ale politicilor și măsurilor de securitate pentru a se asigura că sunt în conformitate cu cerințele legale aplicabile, precum și să se asigure că aceste politici/măsuri/proceduri interne sunt eficace și aplicate corect.
d. Monitorizarea și raportarea incidentelor de securitate: Implementarea unui sistem de monitorizare a incidentelor de securitate și de raportare promptă a oricărui incident identificat poate conduce la o mai bună securitate a sistemelor operatorilor.
Photo by Towfiqu barbhuiya on Unsplash