Situatii si ipoteze care implica incalcarea securitatii datelor cu caracter personal
1. Un operator salveaza o copie a unei arhive care contine date personale, in format criptat (salvarea datelor intr-o alta forma), pe un USB. Ulterior USB-ul este furat in timpul unei spargeri, situatie in care nu este necesara notificarea autoritatii de supraveghere si nici a persoanele vizate de protectia datelor cu caracter personal. Din moment ce datele sunt criptate cu un algoritm conform cu ultimele standarde de criptare si un backup al datelor exista (copii de siguranta), cheia de decriptare nu este compromisa, ceea ce inseamna ca datele pot fi recuperate intr-un interval de timp scurt.
Observatie: acest caz nu trebuie neaparat raportat ca incident de securitate. In eventualitatea in care datele sunt compromise ulterior, notificarea autoritatii si/a persoanei vizate, este necesara.
2. Un operator administreaza un serviciu online. In urma unui atac cibernetic asupra acelui serviciu, datele personale ale utilizatorilor sunt extrase. Operatorul are clienti doar intr-un singur stat membru.
Observatie: apreciem ca este necesara notificarea autoritatii de supraveghere daca se produc consecinte care sa afecteze datele cu caracter personal ale persoanelor vizate. De asemenea, exista obligatia notificarii persoanelor vizate in functie de gradul de afectare al datelor.
3. O pana de curent dureaza de cateva minute la un call center al unui operator, fapt care duce la imposibilitatea clientilor de accesare a datelor.
Observatie: Acesta nu este un incident ce trebuie notificat, dar apreciem ca trebuie sa fie notat Autoritatii de supraveghere. Din moment ce datele nu pot fi accesate de utilizator, riscul ca altcineva sa acceseze datele este unul foarte mic, datorita lipsei curentului care a afectat serverele.
Potrivit Regulamentului operatorul este obligat sa pastreze documente (si inregistrari, daca este posibil) referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse.
Desi textul se refera la incalcari , apreciem ca fiind oportun conservarea unor dovezi si in cazul unor incidente minore - asa cum este cel analizat, intrucat, in situatia unor plangeri ulterioare, doar asa, s-ar putea verifica conformitatea cu RGPD.
4. In urma unui atac de rascumparare toate datele unui operator sunt criptate (utilizatorii nu mai au acces la date, cu exceptia cazului in care cel care a criptat datele detine cheia de criptare). Nu exista niciun backup al acelor date si datele nu pot fi recuperate.In urma unei investigatii rezulta faptul ca nu exista alti virusi in sistem si ca singurul scop al atacului a fost sa cripteze datele.
Observatie: Se anunta autoritatea de supraveghere daca exista posibilitatea producerii unor consecinte asupra utilizatorilor pentru ca acest atac poate conduce la pierderea datelor. Se raporteaza utilizatorilor in functie de gradul de afectiune al datelor, precum si de posibilitatea de pierdere permanenta a datelor.
Daca exista un backup disponibil in sistem (cum a fost in cazul numarul 2) atunci datele pot fi putut fi recuperate in timp util si nu ar mai fi necesara raportarea catre autoritatea de supraveghere si nici a persoanelor afectate. Cu toate acestea, daca autoritatea se autosesizeaza poate investiga cazul potrivit Regulamentului.
5. O persoana suna in call center-ul unei banci pentru a raporta o scurgere de date. Dupa verificarea persoanei care a apelat se descopera ca aceasta primea o anumita suma de la o terts parte. Operatorul conduce o scurts investigatie si ajunge la concluzia ca o scurgere de date a avut loc si anumite persoane sunt sau pot fi afectate.
Observatie: Se notifica autoritatea de supraveghere daca exista posibilitatea producerii unui risc major de a fi afectati utilizatorii si persoanele vizate.
Observatie: acest caz nu trebuie neaparat raportat ca incident de securitate. In eventualitatea in care datele sunt compromise ulterior, notificarea autoritatii si/a persoanei vizate, este necesara.
2. Un operator administreaza un serviciu online. In urma unui atac cibernetic asupra acelui serviciu, datele personale ale utilizatorilor sunt extrase. Operatorul are clienti doar intr-un singur stat membru.
Observatie: apreciem ca este necesara notificarea autoritatii de supraveghere daca se produc consecinte care sa afecteze datele cu caracter personal ale persoanelor vizate. De asemenea, exista obligatia notificarii persoanelor vizate in functie de gradul de afectare al datelor.
3. O pana de curent dureaza de cateva minute la un call center al unui operator, fapt care duce la imposibilitatea clientilor de accesare a datelor.
Observatie: Acesta nu este un incident ce trebuie notificat, dar apreciem ca trebuie sa fie notat Autoritatii de supraveghere. Din moment ce datele nu pot fi accesate de utilizator, riscul ca altcineva sa acceseze datele este unul foarte mic, datorita lipsei curentului care a afectat serverele.
Potrivit Regulamentului operatorul este obligat sa pastreze documente (si inregistrari, daca este posibil) referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, care cuprind o descriere a situatiei de fapt in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse.
Desi textul se refera la incalcari , apreciem ca fiind oportun conservarea unor dovezi si in cazul unor incidente minore - asa cum este cel analizat, intrucat, in situatia unor plangeri ulterioare, doar asa, s-ar putea verifica conformitatea cu RGPD.
4. In urma unui atac de rascumparare toate datele unui operator sunt criptate (utilizatorii nu mai au acces la date, cu exceptia cazului in care cel care a criptat datele detine cheia de criptare). Nu exista niciun backup al acelor date si datele nu pot fi recuperate.In urma unei investigatii rezulta faptul ca nu exista alti virusi in sistem si ca singurul scop al atacului a fost sa cripteze datele.
Observatie: Se anunta autoritatea de supraveghere daca exista posibilitatea producerii unor consecinte asupra utilizatorilor pentru ca acest atac poate conduce la pierderea datelor. Se raporteaza utilizatorilor in functie de gradul de afectiune al datelor, precum si de posibilitatea de pierdere permanenta a datelor.
Daca exista un backup disponibil in sistem (cum a fost in cazul numarul 2) atunci datele pot fi putut fi recuperate in timp util si nu ar mai fi necesara raportarea catre autoritatea de supraveghere si nici a persoanelor afectate. Cu toate acestea, daca autoritatea se autosesizeaza poate investiga cazul potrivit Regulamentului.
5. O persoana suna in call center-ul unei banci pentru a raporta o scurgere de date. Dupa verificarea persoanei care a apelat se descopera ca aceasta primea o anumita suma de la o terts parte. Operatorul conduce o scurts investigatie si ajunge la concluzia ca o scurgere de date a avut loc si anumite persoane sunt sau pot fi afectate.
Observatie: Se notifica autoritatea de supraveghere daca exista posibilitatea producerii unui risc major de a fi afectati utilizatorii si persoanele vizate.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!