Pilule RGPD

Bresa de securitate

Securitatea datelor cu caracter personal (DCP)

GDPR definește încălcarea securității datelor ca ”o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea”

Cu alte cuvinte, o astfel de încălcare presupune folosirea într-un mod neautorizat sau de către o persoană neautorizată, a datelor cu caracter personal.

Incidentele de securitate pot sau nu să cauzeze un prejudiciu persoanei vizate. Este important să identificăm aceste aspecte în cel mai scurt timp posibil, deoarece nu este nevoie să se notifice fiecare incident. În urma unei analize de risc, organizația/compania, decide dacă există un prejudiciu și dacă este necesară notificarea ANSPDCP și a persoanei vizate.

Cele mai comune incidente privind securitatea datelor cu caracter personal sunt cele legate de cardurile bancare, informațiile medicale și datele privind domiciliul. Regăsiți mai jos câteva exemple practice:

1. Breșă frecventă

La serviciu Registratura a unei institutii de stat care se ocupă cu introducerea datelor petentilor (nume, prenume, adresă, CNP) într-un format electronic, părăsește, ocazional biroul. Monitorul este poziționat de o așa manieră încât face posibilă observarea acestor informații de către persoane neautorizate.

2. Breșă cu risc mediu

Trimiterea de către un angajat al unei institutii de stat a unui act care conține numele angajaților, adresa și intervalul orar al prezenței lor la birou către un furnizor de servicii.

3. Breșă cu risc ridicat

Deschiderea unui e-mail virusat de către un angajat care are stocate în memoria internă a laptopului informații legate de angajații institutiei cum ar fi: informații salariale, informații bancare, informații privind starea de sănătate, informatii de stare civila.

În toate cazurile prezentate este necesar să se facă o analiză a riscurilor și, dacă persoana vizată a suferit sau urmează să sufere un prejudiciu, este obligatorie notificarea Autorității de Supraveghere a Datelor cu Caracter Personal în termen de cel mult 72 de ore de la identificarea breșei.