De ce este necesara implementarea unor masuri tehnice pentru alinierea la GDPR?
Expresia “masuri tehnice” apare de 17 ori in textul Regulamentului UE nr. 679/2016. Cu alte cuvinte, nu numai ca aceste masuri au importanta, ci reprezinta chiar imperative, mentionate repetat, atat in punctele din preambulul Regulamentului (66, 71, 78, 81, 88) cat si in continutul articolelor care prevad obligatii specifice pentru operatori si procesatori, privind protectia datelor cu caracter personal.
Astfel, punctul 78 prevede explicit ca “Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament.”
Un alt exemplu se refera la garantiile adecvate, asigurate in cazul arhivarii datelor cu caracter personal in interes public, conform punctului 156 din preambulul GDPR: “Respectivele garanţii ar trebui să asigure faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor.”
In contextul enuntarii acestor cerinte, Regulamentul 679/2016 pune masurile tehnice inaintea masurilor organizatorice, la art. 5, 24, 25, 28, 32 si 89. In plus fata de clauzele contractuale, formularele, declaratiile si evidentele care formeaza documentatia conforma cerintelor GDPR, aceste masuri tehnice vizeaza necesitatea ca operatorul sa se asigure ca, “in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii.”
Ce masuri tehnice trebuie implementate?
Specificul fiecarei organizatii si activitatile principale pe care le deruleaza determina amploarea masurilor tehnice si organizatorice pe care este necesar sa le implementeze. Este necesara o evaluare preliminara temeinica si corecta a nevoilor privind masurile tehnice. De asemenea, ulterior implementarii, este esentiala mentinerea standardelor in continuare la nivelul exigentelor stabilite de GDPR.
Monitorizarea si asigurarea mentinerii acestor standarde se poate face prin desemnarea unui Responsabil cu Protectia Datelor (DPO), pregatit in conformitate cu practicile profesionale menite sa asigure indeplinirea sarcinilor stabilite de art. 39 din Regulamentul UE 679/2016.
In acest scop, o semnificatie speciala are sarcina DPO de a furniza “…consiliere la cerere in ceea ce priveste evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 35.” Cine are capacitatea de a face acest lucru, in lipsa unui DPO?
Evaluarea impactului asupra protectiei datelor cu caracter personal si confidentialitatii acestora este descrisa pe larg in art. 35 din GDPR, inclusiv in privinta situatiilor in care aceasta evaluare este obligatorie. Practic, aceasta evaluare are rolul de a stabili proceduri functionale de prevenire a incalcarii securitatii datelor cu caracter personal. Fara implementarea unor masuri tehnice, riscurile privind drepturile si libertatile persoanelor fizice vor fi de nivel ridicat.
Ce riscuri presupune lipsa acestor masuri tehnice?
Principalele riscuri, din punct de vedere al frecventei cu care apar, pot proveni din exteriorul organizatiei. Acestea pot fi initiate de hackeri, care cauta sa exploateze bresele de securitate pentru a mina criptomonede, de exemplu, pentru a prelua controlul asupra datelor detinute pe anumite sisteme informatice sau pentru a obtine castiguri ilicite, prin phishing.
De asemenea, mai ales din cauza neglijentei sau a lipsei de instruire, pot aparea erori in interiorul organizatiei. Aceste pot duce la pierderea unor date, la expunerea lor publica prin transmisiuni accidentale, la incalcarea unor masuri elementare de protectie in cazul transferurilor fizice.
De exemplu, pot aparea probleme la mutarea intr-un sediu nou sau la incredintarea neprotejata a informatiilor catre curieri sau alti intermediari, care le prelucreaza fara masurile necesare de securitate.
Astfel de incidente au fost sanctionate, inclusiv in cazul unor organizatii cu profil medical, care au suportat sanctiuni pentru expunerea datelor personale a sute de mii de pacienti, conform informatiilor publicate aici de BBC.
Alte trei incidente au fost raportate dupa intrarea in vigoare a GDPR, principala cauza fiind lipsa unor masuri tehnice adecvate, chiar la nivelul elementar al parolelor utilizate pentru acces.
Unul dintre ele este mentionat aici. Pana in acest moment, se estimeaza ca ar fi fost afectati aproximativ 21 de milioane de utilizatori ai platformei TimeHop. Incidentul isi are originile in decembrie 2017, iar atacul a fost detectat si respins abia in 4 iulie 2018.
Un al doilea incident implica magazinele online Macy’s si Bloomingdale’s, raportul de aici mentionand ca accesul neautorizat a inceput in 26 aprilie 2018, folosind parole autentice, si s-a prelungit pana in 12 iunie 2018. S-au obtinut neautorizat date personale care au cuprins inclusiv adrese, date de nastere si detalii ale cardurilor folosite la plati online.
In fine, al treilea incident major implica accesul la platforma GitHub si este descris aici. Atacul a avut loc in 28 iunie, incarcand sa stearga toate fisierele. A pornit tot de la lipsa unor factori suplimentari de securitate, folosind parole reale, fara autentificare in doi pasi.
Conform art. 83, la aplicarea sanctiunilor pentru astfel de incidente, autoritatea de supraveghere va tine cont, atunci cand ia decizia, si de “gradul de responsabilitate al operatorului sau al persoanei imputernicite de operator tinandu-se seama de masurile tehnice si organizatorice implementate de acestia in temeiul articolelor 25 si 32”.
Exemplele mentionate includ si masurile imediate luate de cei vizati, pentru detectarea si oprirea atacurilor, remedierea breselor, notificarea utilizatorilor si restrictionarea accesului, curatarea sistemelor si impiedicarea raspandirii sistemice a riscurilor si daunelor. In concluzie, este esentiala implementarea masurilor tehnice adecvate.
Mai mult, daca apare o situatie neplacuta, soldata cu un control al autoritatii de supraveghere sau dupa un incident de securitate, aceste masuri tehnice vor fi obligatorii, insa va aparea in plus presiunea aplicarii lor in regim de urgenta, pentru a respecta termenul impus de autoritate. Costurile vor creste in mod corespunzator, pe langa sanctiunea inevitabila inscrisa in cazierul operatorului nepregatit, surprins de circumstante.
Aviz celor care inca mai cred ca este suficient un “kit” GDPR, format din documente, clauze, formulare, proceduri… fara masuri tehnice. Cum poate face fata un “kit” necesitatii unei evaluari de impact (DPIA)? Cum poate asigura recuperarea unor date, in caz de incident?