Documente Academic
Documente Profesional
Documente Cultură
- “o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea,
modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau
prelucrate într-un alt mod, sau la accesul neautorizat la acestea” (Regulamentul nr. 679/2016,
art. 4 alin. 12).
Așa cum observăm din definiție, Regulamentul face vorbire despre încălcări ale
securității datelor cu caracter personal și nu despre incidente sau breșe de securitate. De
asemenea, nici Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a
Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecția datelor) nu face trimitere, în niciun fel, la termenii incident sau breșă
de securitate.
Sintagma “incident de securitate” apare în Legea nr. 363 din 28 decembrie 2018 privind
protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către
autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și
combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță,
precum și privind libera circulație a acestor date, unde, la art. 12 alin. 1 se precizează:
“(1)Operatorii sunt obligați să instituie măsurile organizatorice, tehnice și de procedură pentru
a furniza persoanei vizate informațiile necesare potrivit prevederilor art. 13 și art. 16-21 și
pentru a asigura transmiterea unui răspuns în legătură cu prelucrările desfășurate în condițiile
prevăzute la art. 11 sau în legătură cu notificarea persoanelor vizate în cazul apariției unui
incident de securitate, în condițiile prevederilor art. 39” (Legea nr. 363/2018, art. 12 alin. 1).
Am făcut aceste precizări deoarece, inclusiv în limbajul “uzual” al teoreticienilor și
practicienilor GDPR, se folosesc, interșanjabil, sintagmele “incident de securitate” și “breșă de
securitate” pentru a se face referire la o încălcare a securității datelor cu caracter personal. O
definiție a “incidentului de securitate” este oferită în art. 3 din Standardele naționale de protecție
a informațiilor clasificate în România, aprobate prin Hotărârea nr. 585 din 13 iunie 2002:
“incident de securitate - orice acțiune sau inacțiune contrară reglementărilor de securitate a
cărei consecință a determinat sau este de natură să determine compromiterea informațiilor
clasificate” (HG nr. 585/2002, art. 3).
Articolul 4 alin. 7 din Directiva (UE) 2016/1148 a Parlamentului European și a
Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a
rețelelor și a sistemelor informatice în Uniune definește incidentul ca fiind “orice eveniment
care are un efect real negativ asupra securității rețelelor și a sistemelor informatice” (Directiva
(UE) 2016/1148 , art. 4 alin. 7).
O breșă de securitate privind datele cu caracter personal este un incident de securitate de
un anumit tip și care are consecințe negative, mai mult sau mai puțin grave asupra persoanei
vizate. Regulamentul 679/2016 se aplică breșelor de securitate privind datele cu caracter
personal. Diferența între incidentele de securitate și breșele de securitate este că, “în timp ce
toate breșele de securitate privind datele cu caracter personal sunt incidente de securitate, nu
toate incidentele de securitate sunt, în mod necesar, breșe de securitate privind datele cu
caracter personal” (Murphy, 2019). Faptul că un anumit incident de securitate a afectat, a vizat
informații clasificate sau sisteme informatice, nu înseamnă, în mod obligatoriu că s-a produs o
breșă de securitate privind datele cu caracter personal (informațiile clasificate nu e obligatoriu să
conțină date cu caracter personal).
Un virus software, spre exemplu, este un program care se atașează la un fișier executabil
(.exe) sau la o aplicație vulnerabilă și care generează efecte deranjante sau distructive
(Hernandez, 2018). Un virus se execută, “prinde viață”, în momentul în care este accesat un
fișier infectat. Aceasta înseamnă că, prin descărcarea unul fișier executabil “contaminat” cu un
virus am produs un incident de securitate, dar, acesta devine breșă de securitate doar în
momentul în care executăm, dăm dublu click pe acel fișier și acceptăm instalarea aplicației. Dacă
eliminăm din calculator fișierul executabil infectat, fără să îl rulăm, fără să dăm viață virusului,
rămânem în zona de incident de securitate și nu intrăm în cea de breșă, prin urmare, nu notificăm
Autoritatea de supraveghere, dar mergem, de urgență, la specialistul IT ca să ne asigurăm că e
totul în regulă cu dispozitivul nostru.
Dacă ne imaginăm incidentul ca pe un eveniment, fie el accidental sau intenționat, care
poate provoca o breșă și breșa ca pe o întrerupere, o spărtură - în sens figurat (MDA, 2010) - prin
care se scurg date personale, sau se permite accesarea neautorizată de date personale sau
coruperea acestora, sau ca pe un blocaj care nu mai permite accesul la datele cu caracter
personal, putem înțelege mai ușor diferența între incidentul de securitate și breșa de securitate.
Breșele de securitate privind datele cu caracter personal nu au doar o cauză tehnică sau de
forță majoră, ci se pot produce și din cauza factorului uman. Am putea chiar afirma că breșele de
securitate privind datele cu caracter personal au un grad de probabilitate mult mai mare să fie
produse de factorul uman și sunt mult mai greu de prevăzut și de evitat. Măsurile tehnologice pe
care le-ar putea lua un operator ca să contracareze eventualele breșe de securitate privind datele
cu caracter personal, produse de factorul uman, sunt extrem de costisitoare și, nu în puține
cazuri, chiar prohibitive.
Permiterea accesului doar la categoriile de datele personale de care salariatul are nevoie în
îndeplinirea atribuțiilor de serviciu
1) Precauții de bază (CNIL, 2018)
Definirea de niveluri de autorizare a accesului la datele personale alocând sarcini și
responsabilități specifice, pentru ca personalul să acceseze doar datele personale necesare
îndeplinirii atribuțiilor de serviciu;
Retragerea drepturilor de acces ale salariaților în incintă sau la sistemul informatic,
imediat ce au încetat raporturile de muncă cu aceștia sau le-a fost schimbată încadrarea;
Revizuirea anuală a drepturilor de acces pentru a identifica și a șterge conturile nefolosite
și actualizarea nivelurilor de acces în mod corespunzător;
Evitarea crearea sau utilizarea de conturi partajate cu mai mulți utilizatori (un singur cont
pe calculator pe care intră toți salariații);
Evitarea acordării de drepturi de administrare a sistemului informatic persoanelor care nu
au nevoie de ele;
Evitarea acordării salariaților a mai multor drepturi de acces decât le este necesar;
Retragerea drepturilor de acces temporare acordate unor salariați (în caz de schimbare
temporară a locului de muncă).
Asigurarea securității datelor personale în orice moment din ciclul de viață al acestora
2) Precauții suplimentare
A se vedea art. 28 din Regulament.
Asigurarea securității fizice a spațiilor care adăpostesc servere și echipamente de rețea sau
în care se prelucrează date cu caracter personal
Accesul în spații trebuie controlat pentru a evita sau încetini accesul neautorizat,
indiferent dacă este vorba de documente pe suport de hârtie sau de echipamente IT, în special
servere.
1) Precauții de bază (CNIL, 2018)
Alarmel anti-intrus și verificare periodică.
Instalare de detectoare de fum, precum și resurse de stingere a incendiilor și inspectați-le
anual.
Asigurarea securității dispozitivelor și a codurilor de alarmă care permit accesul la sediu.
Separarea zonelor clădirii în funcție de riscuri (de exemplu, utilizând un control de acces
dedicat pentru sala calculatoarelor).
Evidența persoanelor sau categoriilor de persoane autorizate să pătrundă în fiecare zonă.
Stabilirea regulilor și metodelor de control al accesului vizitatorilor, cel puțin, prin
însoțirea vizitatorilor, în afara zonelor de primire publică, de către o persoană din organizația
dvs.
Protejarea fizică a echipamentelor IT prin metode specifice (sistem dedicat de prevenire a
incendiilor, ridicarea echipamentelor împotriva posibilelor inundații, alimentarea electrică și /
sau redundanța sistemelor de aer condiționat etc.).
Evitarea subdimensionării sau ignorarea întreținerii sălilor de calculatoare (aer
condiționat, UPS etc.). O ignorare a acestor măsuri poate genera oprirea echipamentelor și
permiterea accesului în camere (circulația aerului), care neutralizează elementele care contribuie
la securitatea fizică a spațiilor.
2) Precauții suplimentare (CNIL, 2018)
Păstrarea unui jurnal de acces (IT) în incintele sau birourile care pot găzdui echipamente
care conțin date personale și care ar putea avea un impact negativ grav asupra persoanelor vizate.
Informați persoanele afectate de funcționarea acestui sistem cu privire la instalarea acestuia,
după consultarea cu reprezentanții personalului.
Asigurarea că numai personalul autorizat este admis în zonele cu acces restricționat. De
exemplu:
o în interiorul zonelor de acces controlat, să poarte o identificare vizibilă (ecuson);
o vizitatorii (personalul responsabil cu asistența tehnică etc.) să aibă un acces limitat. Data
și ora sosirii și plecării lor trebuie înregistrată;
o reevaluarea și actualizarea regulată a permisiunilor de acces în zonele securizate.