Sari direct la conținut

Cum pot asigura societățile securitatea datelor cu caracter personal?

Filip&Company
Raluca Pușcas, Georgiana Ghinescu, Alexandra Dunăreanu, Foto: Filip & Company
Raluca Pușcas, Georgiana Ghinescu, Alexandra Dunăreanu, Foto: Filip & Company

Este bine cunoscut faptul că implementarea cerințelor Regulamentului General privind Protecția Datelor (UE) 2016/679 (GDPR) necesită timp și presupune eforturi interne constante în încercarea atingerii conformității cu acestea, menținerea conformității continue și diminuarea riscurilor generate de colectarea și prelucrarea neconformă a datelor cu caracter personal.

Astfel, unele situații care pot prezenta provocări privind aplicarea în practică se referă la asigurarea securității datelor cu caracter personal și prevenirea incidentelor precum divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Acest aspect poate fi observat și prin raportare la recentele comunicări oficiale ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal conform cărora au fost aplicate amenzi operatorilor de date cu caracter personal pentru nerespectarea cerințelor privind asigurarea securității datelor cu caracter personal.

Cunoscând că în general este mai bine să previi decât să repari, ne propunem să vă prezentăm câteva exemple de măsuri de securitate a datelor pe care operatorii le-ar putea lua în considerare, cu adaptările necesare față de specificul activității fiecărei societăți. În plus, conștientizarea si instruirea angajaților asupra măsurilor pe care le pot lua fiecare dintre ei, în mod concret, pentru a proteja datele cu care interacționează în activitatea zilnică, reprezintă un alt element cheie despre care vom discuta în continuare.

1. Ce spune GDPR despre securitatea datelor cu caracter personal?

Principiul integrității și confidențialității datelor presupune ca operatorii să prelucreze datele cu caracter personal într-un mod care asigură securitatea adecvată a acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

Aceasta înseamnă că pentru conformarea cu cerințele GDPR societățile trebuie să asigure o securitate adecvată pentru a preveni compromiterea accidentală sau deliberată a datelor cu caracter personal pe care le prelucrează. În egală măsură, securitatea datelor presupune ca societatea să dețină date actualizate si complete, să fie prelucrate doar de persoane autorizate, dar și ca datele să rămână accesibile societății sau să poată fi recuperate în caz de incidente.

2. Măsuri pentru un nivel adecvat de securitate a datelor cu caracter personal

2.1. Ce înseamnă nivel adecvat de securitate?

GDPR nu precizează în concret măsurile de securitate care trebuie aplicate și de altfel, nici nu credem că ar fi posibilă o soluție universală, care să fie potrivită pentru orice societate, din orice domeniu de activitate. În schimb, nivelul de securitate trebuie să fie adecvat riscului pe care îl presupun activitățile de prelucrare a datelor realizate de fiecare societate, analizat de la caz la caz, în funcție de elemente precum natura, domeniul de activitate, contextul și scopurile prelucrării. În urma acestei analize, fiecare societate urmează să își stabilească măsurile tehnice și organizatorice pe care le va aplica (dintre care exemplificăm mai jos), ce vor fi apoi revizuite și actualizate periodic, când este necesar.

2.2. Măsuri tehnice de securitate

2.2.1. Securitate cibernetică

Securitatea cibernetică reprezintă protecția rețelelor și a sistemelor de informații împotriva atacurilor cibernetice și poate fi realizată prin multiple mecanisme, printre care și cele prezentate în continuare.

i. Protejarea dispozitivelor utilizate de angajați

În contextul actual în care munca la distanță este din ce în ce mai mult aplicată, este importantă protejarea dispozitivelor utilizate de angajați prin implementarea unor soluții de tip antivirus care să asigure protecția dispozitivelor împotriva virușilor, a programelor de tip spyware, a atacurilor de phishing și altele asemenea, dar și alte măsuri tehnice precum utilizarea de tehnici de criptare și utilizarea unui VPN securizat pentru conectare, menite să protejeze confidențialitatea datelor în cazul în care dispozitivul ar fi accesat neautorizat (de exemplu, în caz de pierdere sau furt).

ii. Implementarea unui software de tip data loss prevention

Implementarea unui software de tip data loss prevention are rolul de a preveni riscul pierderii datelor cu caracter personal, și de a asigura protejarea datelor împotriva accesului neautorizat sau a potențialelor amenințări ce pot apărea din partea hackerilor.

De exemplu, software-ul data loss prevention poate clasifica datele confidențiale și critice pentru afaceri și poate astfel identifica încălcările cerințelor stabilite de societăți prin politicile interne. Odată identificate aceste încălcări, software-ul poate impune remedierea prin alerte, criptare și alte acțiuni de protecție pentru a împiedica utilizatorii finali (i.e., angajații) să dezvăluie sau să transmită în mod accidental sau rău intenționat date care ar putea genera riscuri pentru societate. În acest mod societățile pot acoperi riscuri precum: erorile umane (de exemplu, situația când un angajat transmite un e-mail cuprinzând date cu caracter personal sau alte informații confidențiale către un destinatar care nu trebuia sa primească acele informații), pierderi de date/ furturi de date, sau riscuri generate de indisponibilizarea temporara a sistemelor IT fără de care societatea nu își poate desfășura activitatea curentă.

iii. Utilizarea parolelor

Pentru a preveni potențiale atacuri informatice sau accesul neautorizat la datele cu caracter personal, recomandăm parolarea dispozitivelor folosite pentru a accesa documentele ce conțin date cu caracter personal sau chiar a documentelor stocate pe respectivele dispozitive. De asemenea, recomandăm schimbarea periodică a parolelor utilizate, dar și evitarea reutilizării parolelor sau a salvării acestora în browser.

iv. Realizarea copiilor de rezervă ale datelor

Pentru evitarea unui incident care ar afecta disponibilitatea datelor apreciem ca fiind oportună existența unor copii de rezervă ale datelor prelucrate, astfel încât societatea să aibă acces oricând este necesar la datele pe care le prelucrează. Spre exemplu, în cazul unui atac cibernetic asupra unui dispozitiv și/sau sistem în urma cărui atacatorul preia controlul asupra datelor și le criptează, astfel încât societatea nu mai are acces la respectivele date, consecințele atacului ar fi diminuate dacă ar exista copii de rezervă ale datelor care să poată fi accesate în continuare în ciuda atacului cibernetic.

v. Blocarea dispozitivelor după o anumită perioadă

O altă metodă eficientă pentru prevenirea accesului neautorizat la date este blocarea dispozitivului utilizat (i.e., laptop, desktop) după o anumită perioadă de timp, spre exemplu după 10 minute de inactivitate.

vi. Implementarea măsurilor de pseudonimizare

Deși poate mecanismul pseudonimizării este cunoscut, considerăm util să amintim că, potrivit ghidului recent emis de Agenția Uniunii Europene pentru Securitate Cibernetică 1 , pentru o eficiență sporită a tehnologiilor de pseudonimizare este recomandată o abordare bazată pe risc. Astfel, nu există o tehnică de pseudonimizare general valabilă pentru toate situațiile, fiind necesară o analiză detaliată de la caz la caz pentru a defini cea mai bună opțiune posibilă, din perspectiva securității și a riscului de protecție a datelor, luând în considerare contextul general și caracteristicile activităților de prelucrare a datelor cu caracter personal. Mai mult, dacă se urmărește implementarea unor măsuri de pseudonimizare avansate, este recomandabilă realizarea unei analize pentru a evalua dacă modelul organizațional al societății și fluxul de date sunt compatibile cu acele măsuri.

2.2.2. Securitate fizică

i. Păstrarea documentelor în spații special destinate

În cazul documentelor în format fizic, apreciem ca fiind oportună păstrarea acestora în spații special destinate, precum fișete securizate sau încăperi dedicate.

ii. Accesul restricționat în anumite spații

Pentru o siguranță sporită, recomandăm ca în spațiile în care se găsesc arhive de date/servere să aibă acces doar persoane autorizate. Astfel, o posibilitate ar fi ca accesul în acele încăperi să se realizeze pe baza unui card de acces sau unei chei.

2.3. Măsuri organizatorice de securitate

2.3.1. Prelucrarea datelor doar de către persoanele autorizate

Pentru a evita potențiale distrugeri/divulgări/modificări neautorizate ale datelor, prelucrarea acestora ar trebui să se realizeze doar de către persoanele care au atribuții în acest sens. Spre exemplu, în cazul unui proces de recrutare a personalului, recomandăm ca informațiile din dosarele candidaților să fie prelucrate doar de către departamentul de HR și, dacă este cazul, de către o altă persoană determinată din cadrul societății, atunci când acest aspect este necesar prin raportare la scopul recrutării.

2.3.2. Implementarea unei politici interne și instruirea periodică a personalului

Construirea unei culturi a conștientizării securității datelor în cadrul organizației poate fi considerată una dintre cele mai eficiente măsuri, astfel implementarea și comunicarea la nivel intern a unei politici interne referitoare la securitatea datelor reprezintă instrumentul necesar pentru creșterea nivelului de securitate. Astfel, recomandăm societăților să se asigure că personalul lor este instruit periodic în legătură cu aspectele de securitate a datelor și că este în măsură să prevină incidente de securitate, să recunoască situațiile care prezintă un risc, precum și să acționeze prompt în astfel de cazuri. La momentul pregătirii politicii, aceasta ar trebui să reglementeze cel puțin următoarele aspecte: (i) verificarea existenței unei potențiale încălcări a securității datelor cu caracter personal, (ii) notificarea reprezentantului societății în legătură cu încălcarea securității datelor cu caracter personal, (iii) evaluarea încălcării securității datelor cu caracter personal și a riscului, (iv) notificarea ANSPDCP și a persoanelor vizate, după caz, (v) documentarea completă a tuturor măsurilor luate și (vi) analiza gestionării incidentelor și implementarea îmbunătățirilor.

2.3.3. Monitorizarea atentă a nivelului de securitate a datelor și revizuirea periodică a securității

Pentru asigurarea unei eficiențe sporite a politicii interne menționate mai sus și a altor măsuri referitoare la securitatea datelor, recomandăm monitorizarea îndeaproape a nivelului de securitate a datelor prin intermediul unei persoane/echipe desemnate, astfel încât să poată fi remediate cât mai rapid eventuale deficiențe apărute în acest sens. De asemenea, este important ca măsurile implementate să fie revizuite periodic pentru a fi adaptate la nevoile activității desfășurate.

2.3.4. Implementarea politicii biroului și a ecranului curat

Recomandăm implementarea la nivelul societății a unei politici potrivit căreia la finalul programului angajații să se asigure că închid dispozitivele utilizate și că pe biroul lor nu rămân diverse documente care conțin date cu caracter personal, precum contracte, facturi, CV-uri ale candidaților și altele asemenea.

3. Pași de urmat în caz de încălcare a securității datelor cu caracter personal

Pentru situația în care, în ciuda tuturor măsurilor implementate în vederea asigurării securității datelor, societatea se confruntă cu un incident de securitate, am pregătit o serie de pași (în linii generale) care să fie urmați pentru a reduce riscul generat de incidentul de securitate. Fiecare societate ar trebui să aibă proceduri interne implementate pentru a administra asemenea incidente, care să prevadă în mod clar pentru fiecare angajat cum trebuie să reacționeze în aceste situații, precum și care sunt fluxurile de comunicare internă și persoanele responsabile. În afară de implementarea unei proceduri scrise, considerăm că o modalitate eficientă pentru ca societățile să se asigure că fiecare angajat cunoaște aceste reguli este realizarea periodică a unui training, cu exemple practice privind incidente de securitate care pot să apară (de exemplu, cum să recunoască un atac de tip phishing, cum să procedeze dacă laptopul/telefonul mobil de companie a fost pierdut). Astfel, pe scurt, ar trebui reglementate următoarele:

– Fiecare angajat care se confruntă cu /sesizează un incident de securitate trebuie să reacționeze prompt și să direcționeze informațiile referitoare la acel eveniment către persoanele desemnate intern (cu implicarea responsabilului cu protecția datelor ). Urmează la nivelul companiei stabilirea existenței unei încălcări de securitate din perspectiva GDPR și evaluarea riscului, dar incidentul de securitate poate avea implicații și din perspectiva altor reglementări aplicabile companiei, precum si implicații economice sau la nivel reputational;

– Evaluarea impactului încălcării securității datelor cu caracter personal asupra persoanelor vizate, pentru a stabili dacă există un risc/risc ridicat;

– În funcție de situația concretă, notificarea ANSPDCP în maximum 72 de ore de la data la care operatorul a luat la cunoștință de încălcarea securității și, dacă este cazul, informarea persoanele afectate cu privire la încălcarea securității datelor;

– Implementarea de acțiuni menite a limita efectele incidentului și a remedia încălcarea;

– Documentarea încălcării pe măsură ce aceasta evoluează, indiferent daca există sau nu obligația de a notifica încălcarea, constând în documentarea faptelor, a efectelor incidentului și a măsurilor de remediere luate.

Autori: Raluca Pușcas (partener), Alexandra Dunăreanu (associate), Georgiana Ghinescu (associate)

ARHIVĂ COMENTARII