Necesitatea aplicarii de măsuri tehnice și organizatorice adecvate
În luna mai a acestui an, ANSPDCP a finalizat o investigație demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal, obligație prevăzută de art. 33 din Regulamentul General privind Protecția Datelor.
În urma investigației s-a constatat încălcarea, de către operator, a prevederilor art. 32 alin. (1) lit. b) și d) și alin. (2) din RGPD, întrucât nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare.
ANSPDCP a constatat faptul că încălcarea securității prelucrării datelor s-a produs prin instalarea neautorizată a unui program de tip malware pe site-ul opreratorului, care a dus la încălcarea confidentialității datelor cu caracter personal (date bancare) ale unui număr mare de clienți, prin instalarea neautorizată a unui formular fictiv de colectare date bancare.
Operatorul a fost sancționat cu amendă în cuantum de 12.424 lei, echivalentul a 2.500 euro, precum și aplicarea măsurii colective de a implementa un plan care să includă un mecanism de testare, scanare, evaluare și apreciere periodică a securității tuturor sistemenlor IT ale operatorului, inclusiv asupra site-ului acestuia.
Având în vedere speța de mai sus, trebuie să avem în vedere următoarele aspecte:
– RGPD prevede la art. 32, alin. (1), lit. b) că operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
– Art. 32, alin. (2) prevede că la evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
– Programul de tip malware este un “software malefic” care este creat și utilizat pentru a compromite securitatea sistemelor informatice și a dispozitivelor, conceput pentru a realiza acțiuni dăunătoare, cum ar fi: accesarea neautorizată a datelor, distrugerea sau coruperea fișierelor, monitorizarea activității utilizatorilor sau preluarea controlului asupra sistemului.
Este extrem de important să menționăm că utilizarea, dezvoltarea sau distribuirea unui astfel de program este ilegală și se consideră o infracțiune cibernetică, conform prevederilor din Codului Penal.
Utilizarea malware-ului poate avea consecințe grave, inclusiv pierderea de date, furt de identitate, prejudicii financiare și prejudicierea reputației.
Astfel, cum este prevăzut de RGPD, pe lângă implementarea corectă a GDPR, operatorii trebuie să transforme securitatea cibernetică într-o prioritate și să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate al sistemelor informatice corespunzător acestui risc.