Securitatea prelucrarii datelor cu caracter personal

In ceea ce priveste managementul incalcarii securitatii datelor, operatorul ar trebui sa identifice, sa documenteze si sa raspunda cazurilor de incalcare a securitatii datelor. In sensul indeplinirii obligatiei, ar trebui:
- sa aiba o Procedura de raportare si tratare incidente;
- sa aiba un model de Notificare catre Autoritate in cazul unui incident;
- sa aiba un model de Notificare catre persoanele vizate in cazul unui incident
- sa aiba un Registru de Evidente Incidente.

Legat de securizarea datelor cu caracter personal prin criptare, societatea ar trebui analizeze implementarea unei politici sau a unei proceduri pentru a defini ce date cu caracter personal trebuie sa cripteze, cum sa le cripteze si scopul criptarii. In sensul indeplinirii recomandarii de mai sus, societatea ar trebui:
- sa detina tehnologii adecvate pentru a efectua criptarea;
- sa mentina un standard de protectie a datelor care sa documenteze criteriile de criptare;
- sa analizeze periodic noile tehnologii de criptare pentru a se mentine la curent cu criptarea adecvata.

Raportarea si tratarea incidentelor de securitate

Incidentul de securitate inseamna o incalcare a securitatii care duce la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal, in mod accidental sau ilegal. Aceasta include incalcarile cauzate atat in mod accidental, cat si in mod intentionat.

Incalcarile de securitate vor fi raportate la ANSPDCP fara intarzieri nejustificate, in cel mult 72 de ore de la constatarea acesteia. In masura in care nu este posibila furnizarea tuturor informatiilor in termenul mentionat, acestea vor fi transmise etapizat. In orice situatie de depasire a termenului de 72 de ore de la constatarea incalcarii, vor fi furnizate motive pentru intarziere, precum si termenul preconizat in interiorul caruia vor fi transmise mai multe informatii.

In cazul in care incalcarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate, vor fi informate persoanele in cauza in mod direct si fara intarzieri nejustificate, cat mai repede posibil.

In momentul producerii unei incalcari a securitatii datelor cu caracter personal, orice informatii care se furnizeaza ANSPDCP sau persoanei vizate vor fi concise, usor accesibile si usor de inteles si sa utilizeze un limbaj simplu si clar, precum si elemente grafice acolo unde este cazul.

Incalcarea securitatii datelor cu caracter personal poate afecta confidentialitatea, integritatea sau disponibilitatea datelor cu caracter personal.

Incalcarile securitatii datelor cu caracter personal pot cuprinde:

• accesul unui tert neautorizat;
• actiunea (sau inactiunea) intentionata sau accidentala a unui operator sau unei persoane imputernicite de operator;
• trimiterea unor date cu caracter personal catre un destinatar gresit;
• pierderea sau furtul unor dispozitive informatice care contin date cu caracter personal;
• modificarea datelor cu caracter personal fara permisiune;
• pierderea disponibilitatii datelor cu caracter personal.

In momentul raportarii unei incalcari, trebuie incluse urmatoarele informatii:

• descrierea caracterului incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil: categoriile si numarul aproximativ al persoanelor vizate in cauza; categoriile si numarul aproximativ al inregistrarilor de date cu caracter personal in cauza;
• numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;
• descrierea consecintelor probabile ale incalcarii securitatii datelor cu caracter personal;
• descrierea masurilor luate sau propuse spre a fi luate pentru a remedia problema incalcarii securitatii datelor cu caracter personal, inclusiv, dupa caz, masurile luate pentru atenuarea eventualelor efecte negative.

Angajatii trebuie sa inteleaga pericolul reprezentat de atacurile cibernetice sau cele de tip social (social engineering) precum si repercusiunile pe care aceste atacuri le pot avea asupra Operatorului, asupra angajatilor acestuia sau a persoanelor vizate.

Pentru a se asigura un standard ridicat de securitate, Operatorul trebuie sa organizeze cursuri de instruire cu privire la vulnerabilitatile datelor personale si masurile preventive de securitate ce se adopta in cazul atacurilor cibernetice.

Angajatul va fi informat cu privire la atacurile precum:
- Phishing: prin care atacatorii utilizeaza e-mail-urile de tip spam pentru a directiona victimele catre site-uri web create de atacatori astfel incat datele personale sa fie introduse pe acel site web;
- Social engineering: manipularea rau-intentionata a anumitor persone prin care angajatii sunt convinsi sa disemineze date cu caracter confidential;
- DNS poisoning: Otravirea cache este un atac in care datele corupte sunt inserate in baza de date cache a serverului de nume DNS (Domain Name System). Atacatorul intentioneaza sa trimita raspunsuri duplicate de la un DNS impostor pentru a redirectiona un nume de domeniu la o noua adresa IP. Noua adresa IP este cel mai probabil controlata de atacator si este utilizata pentru a raspandi viermii de calculator si alte programe malware.

Masurile tehnice si organizatorice pot fi orientate pe diverse directii de actiune, cum ar fi, spre exemplu:

• identificarea si autentificarea utilizatorului (introducerea unui cod de identificare + modalitate de autentificare pe baza unei parole);
• tipul de acces (administrare, introducere, prelucrare, salvare etc.);
• executia copiilor de siguranta;
• computerele si terminalele de acces;
• fisierele de acces;
• instruirea personalului.