Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 20 Aprilie 2019
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis

Notificarea incalcarilor de securitate si informarea persoanelor vizate


Plecand de la termenul de notificare a incalcarilor de securitate, prevazut de art. 32 din Regulamentul 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date ( GDPR ), ne-am pus intrebarea cine este persoana care trebuie sa ia la cunostinta despre incalcare: DPO-ul sau o alta persoana care are atributii in materia protectiei datelor, directorul departamentului IT, administratorii, directorii, directorul departamentului din zona de marketing (daca incalcarea s-a produs in departamentul de marketing), pentru a cunoaste practic de cand curge termenul de 72 de ore. De multe ori, managementul societatilor poate sa fie unul sofisticat, mai mult, administratorii sau directorii este posibil sa nu fie prezenti, dar au linii de raportare la nivelul politicilor si procedurilor interne, fiind de multe ori confruntati cu intrebari firesti, precum cine trebuie sa afle, cine cui trebuie sa raporteze, cand trebuie sa raporteze si, mai ales, cum se intampla toat aceste aspecte in 72 de ore.

Credem ca, in practica, este dificil de dat un raspuns precis cu privire la persoana care trebuie sa ia la cunostinta despre incalcare, mai mult, raspunsul difera in functie de fiecare caz in parte, de specificul societatii, industriei, de organigrama societatii si de modul in care sunt structurate departamentele in cadrul acesteia. Ce este important este ca la nivelul societatii sa existe politici bine definite in care sa fie mentionat foarte clar rolul fiecarui actor implicat in ceea ce priveste investigarea unei incalcari, iar echipa de investigatii trebuie sa fie bine definite, fiind necesar sa fie activate in situatii precis determinate.

Mai mult, in practica, termenul de 72 de ore poate avea o intarziere artificiala, intrucat nu este notificata fiecare persoana care are roluri sau atributii in materia protectiei datelor, ci este suficient ca una, cea mai relevanta dintre aceste persoane, sa cunoasca posibila incalcare (spre exemplu, poate DPO inca nu a fost instiintat, dar Chief Security Officer cunoaste aceasta situatie si atunci termenul de 72 de ore incepe sa curga). Totodata, termenul nu curge de la primul moment in care o persoana pretinde ca au fost afectate sistemele sau s-au transmis adresele de e-mail la destinatari gresiti, ci de la momenul de la care echipa de investigatie a incalcarii analizeaza respectiva incalcare, ii determina in mod aparent impactul si o poate califica drept o incalcare de securitate susceptibila sa fie notificata autoritatii.

Nu doar notificarea autoritatii si informarea persoanelor vizate in baza GDPR trebuie sa fie gestionate in mod corespunzator de catre societate, ci si urmatorele aspecte:
oportunitatea demararii unor investigatii penale, in situatiile in care incalcarea nu s-a produs ca urmare a unei simple erori de sistem sau a unei culpe umane, ci are la baza un act voit, o intentie;
comunicarea cu persoanele vizate prin canalul cel mai des utilizat, in functie de specificul industriei si de activitatea societatii in concret (in orice caz, utilizarea Facebook nu este recomandata);
instruirea echipei de raspuns, inclusiv din perspectiva angajatilor desemnati sa raspunda in cazul unui call-center, gestionarea relatiei cu presa (prin departamentul de PR), gestionarea comunicarii interne cu privire la incalcare (prin adresarea unei comunicari distincte in acest sens la nivel intern si prin recomandarea ca orice raspuns sau comunicare pe aceasta tema sa se faca prin departamentul desemnat in acest sens, de obicei cel de PR).

Din experienta noastra, este necesar ca notificarea si orice raspuns inaintat autoritatii sa fie foarte bine documentat. Totodata, este preferabila notificarea in cascada sau in etape, urmand ca, ulterior avansarii investigatiei si documentarii gradului de incalcare, sa se revina in mod corespunzator catre autoritate. Se va analiza in acelasi timp si oportunitatea informarii persoanei vizate in functie de aspecte precum categoria de date afectate, vulnerabilitatea persoanelor vizate, tipul de incalcare (confidentialitate, integritate sau disponibilitate), masurile luate de societate ulterior etc.

Preventia are un rol esential in cazurile de incalcari de securitate si, in acest sens, recomandam sa fie avute in vedere urmatoarele aspecte:
includerea unor clauze de audit in contractele cu imputerniciti, prin prevederea expresa a posibilitatii operatorului de a verifica si de a investiga, prin intermediul propriei echipe, nivelul masurilor de securitate implementate si desfasurarea in practica a acestor investigatii;
verificarea eficientei si eficacitatii politicilor si procedurilor interne in legatura cu incidentele de securitate, pentru a testa gradul de pregatire si instruire al angajatilor;
desemnarea a priori a unui consultant extern in legatura cu gestionarea unei viitoare incalcari, pentru analizarea gradului de severitate al incalcarii si gestionarea relatiei cu autoritatea si persoanele vizate.

Newsletter portalprotectiadatelor.ro

Top 10 intrebari si raspunsuri referitoare la implementarea GDPR

Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul portalprotectiadatelor.ro si primesti cadou Raportul special "Top 10 intrebari si raspunsuri referitoare la implementarea GDPR"!

Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

x