Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva detalii

508 views

Published on

Ce trebuie sa faca o companie in cazul in care are loc o incalcare a securitatii datelor personale - prezentare la EMEA Conferences.

Published in: Law
  • Be the first to comment

  • Be the first to like this

Incalcari ale securitatii datelor personale si notificarea cf GDPR - cateva detalii

  1. 1. GDPR – încălcări ale securității datelor – câteva detalii Prezentare EMEA Conferences Ce trebuie să facă o companie în cazul în care are loc o încălcare a securităţii datelor Bogdan Manolea 25.03.2019
  2. 2. De 20 de ani axat exclusiv pe aspecte de legislatie & ITC De 11 ani activ pe zona de drepturi civile digitale De 11 ani jurizez magazine online De 6 ani promovez încrederea în comerț online prin Trusted.ro Despre mine
  3. 3. Breșa de securitate a datelor Definiție: „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea
  4. 4. Securitatea datelor (1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
  5. 5. Notificarea unei breșe de securitate obligație pentru toți operatorii de date personale notificarea autorității (72 de ore, dacă este posibil) +evidență Cu informarea persoanei vizate, dacă există risc ridicat pentru drepturile persoanelor – Excepție – date criptate;
  6. 6. Număr de notificări – Comisia (jan 2019)
  7. 7. Număr de notificări – GDPR Today (nov 2018)
  8. 8. Breșă de securitate pași  Identificarea încălcărilor de securitate  Documentarea și înregistrarea încălcării securității  Identificarea riscului pentru persoanele vizate  Notificări legale (Autoritate și persoane vizate, dacă este cazul)
  9. 9. Posibile măsuri de evitare a raportării Adoptarea măsurilor de securitate care nu necesită notificarea (nu există risc pentru persoane), cum ar fi: ● Colectarea de date deja disponibile public ● Date criptate (bine) ● Date neinteligibile pentru terțe părți (pseudonimizare?) Dar în orice caz trebuie documentate! ● Dispoziții contractuale precise cu împuterniciții (inclusiv posibilitatea de a face notificarea în locul operatorului)
  10. 10. Când “ia la cunoștiința” un operator? - are “un grad rezonabil de certitudine” că s-a produs un incident de securitate care a condus la compromiterea datelor cu caracter personal. Exemple: - intruziune in sistemul informatic, cunoscută de operator - cerere de răscumpărare de la un atacator - pierderea unui memory stick cu date necriptate - un terț vă anunță că a primit accidental date personale de la operator Important! – cercetarea inițială nu intră in termenul de “luat la cunoștiință”
  11. 11. Când “ia la cunoștiința” un operator? (2) Relația cu împuternicitul: - Împuternicitul trebuie să notifice “„fără întârzieri nejustificate” operatorul. WP29 recomandă sa fie “de îndată”, fara a sugera un termen. - Doar din momentul notificării operatorului poate începe termenul de 72 de ore. - Alte detalii pot fi stabilite contractual. - Există posibilitatea de a lăsa împuternicitul sa facă notificarea (în numele operatorului)
  12. 12. Excepții de la 72 de ore 1. Notificarea în etape – Art 33 (4) „Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate”. Termenul de 72 de ore se consideră pâna la prima notificare 2. Notificare amânată, cu motivarea întârzierii - Notificări Grupate (doar pentru aceleași tipuri de date cu caracter personal afectate în același mod, într-un interval de timp relativ scurt) - Mai multe incălcări într-o perioadă scurtă de timp - Din investigația inițială rezultă alte încalcări cu cauze diferite - Alte motive (ex. rezolvarea problemei de securitate)
  13. 13. Riscuri ridicate pt încălcări? Art 29 WP - tipul de încălcare - natura, sensibilitatea și volumul datelor cu caracter personal - Ușurința identificării persoanelor - Gravitatea consecințelor pentru persoane (în special furt sau fraudă de identitate, stres psihologic, umilire sau compromiterea reputației) - Caracteristici speciale ale persoanei vizate (copii, persoane vulnerabile) - Caracteristici speciale ale operatorului de date (spital vs. ziar) - Numărul persoanelor vizate
  14. 14. Riscuri ridicate pt încălcări? Art 29 WP – exemple  Date furate dintr-un serviciu online – în funcție de natura datelor + consecințe deosebit de grave  Atac informatice cu ransomware, toate datele criptata, făra backup – în funcție de natura datelor + consecințele lipsei de disponibilitate  Datele unui număr mare de studenți sunt trimise în mod eronat către lista de corespondență greșită cu peste 1 000 de destinatari – în funcție de domeniu, gravitate și consecințe  Un marketplace online suferă un atac și atacatorul publica online numele utilizatorilor, parolele si istoricul achizițiilor  Dosarele medicale dintr-un spital nu sunt disponibile pentru perioada de 30 de ore din cauza unui atac cibernetic
  15. 15. Riscuri ridicate pt încălcări? ENISA SE = DPC X EI + CB DPC = Data Processing Context EI = Ease of Identification CB = Circumstances of the breach SE = Severity

×