Daca am vorbit despre cum noile dispozitii propuse de MCSI vor afecta (sau nu?) reglementarea cookie-urilor in Romania cred ca merita de amintit ale 2 modificari care nu ar fi trebuit sa scape dezbaterii publice. Astazi mentionez doar una dintre ele, si anume:
Notificarea pentru incalcarea securitatii datelor personale (Data breach notification)
Acesta un subiect nou dpdv juridic inclusiv in Romania, si despre care am mai prezentat informatii si in trecut si care, ar trebui in mod normal, sa faca unele modificari in bine in protectia datelor personale.
Practic, noua modificare propune obligatii suplimentare in materie de securitate a datelor cu caracter personal pentru furnizorii de comunicatii electronice (mai prozaic spus operatori telecom + ISP)care merg in 2 directii:
A. Adoptarea de catre orice furnizor de masuri tehnice si organizatorice de protectie a datelor care cel putin sa:
a) asigure că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) protejeze datele cu caracter personal stocate sau transmise, împotriva distrugerii accidentale sau ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării sau divulgării ilicite;
c) asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.
De asemenea se stabileste ca DataProtection.ro are dreptul sa auditeze aceste masuri.
Din pacate acest copy&paste din directiva nu ajuta foarte mult in practica pentru realizarea scopului - si anume asigurarea securitatii datelor. Daca marii operatori probabil au toate aceste proceduri bine puse la punct, pentru operatorii mici acestea pot sa insemne costuri majore cu securitatea datelor.
Asta pentru ca cele 3 obiective mentionate mai sus inseamna pot fi indeplinite practic, si usor de demonstrat unor terti ca sunt indeplinite, doar printr-un audit de securitate al informatiilor.
Iar cum dataprotection.ro nu are capacitatea tehnica de a face o evaluare a securitatii datelor, mie mi se pare cel mai normal ca ar trebui sa se refere tot la un audit realizat de catre specialistii in securitate informatica.
Textul actual este insa vag si neclar, astfel incat toti termenii de acolo sunt interpretabili.
B. In cazul incalcarii masurilor de securitate cu privire la datele personale este obligatorie notificarea dataprotection.ro
In anumite circumstante cam neclare (Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat sau a unei alte persoane) furnizorul ar putea fi obligat sa notifice direct toti clientii! Adica s-ar putea sa primesti acasa o scrisoare de la operatorul tau de Internet prin care sa te anunte ca cineva a intrat in baza de clienti si datele tale ar fi putut sa fie furate.
Dar, daca demonstreaza ca a luat toate masurile de securitate necesare mentionate mai sus, atunci ar putea scapa de obligatia de notificare catre clienti.
E important de precizat ca sunt discutii avansate in UE ca aceasta obligatie de notificare pentru incalcarea securitatii datelor sa fie extinsa la toti procesatorii de date personale !!
Sa complicam lucurile - inca o obligatie de notificare de incalcare a securitatii
Dar pentru ca la noi toate lucrurile se fac pe dos, sa ne uitam putin mai atent la proiectul ANCOM pe implementarea Pachetului Telecom
—– Intermezzo de explicare a unei noi harababuri legislative —–
Intai sa notam o bulibaseala si a acestui proiect de lege - si anume desi proiectul a urmat regulamentar totii pasii de consultare publica, s-a blocat in Parlament intr-o chestiune birocratica si stupida intre Senat si Camera Deputatilor, iar in cele din urma a fost retras de initiatori pe 4 Octombrie.
Ca peste 2 saptamani, adica pe 20 Octombrie sa apara ca un proiect de ….ati ghicit! .. Ordonanta de Urgenta pe site-ul MCSI … evident, fara sa apara anuntat in alte zona din site! Cu aproape acelasi text cu care era in Parlament! Sa mai vorbim de Neutralitatea Internetului ??? Cu cine ???
Curat stat de drept, coane Fanica !
Cred ca va trebui sa schimb insemnarea “Ordonanta de Urgenta x2= Incompetenta^2“, de data aceasta incompetenta fiind a CD + Senatului.
—– End Intermezzo ——-
Dupa cum ziceam insa, daca ne uitam mai nou in propunerea de OUG a MCSI ref la comunicatiile electronice vedem la art 46-48 ca mai exista o obligatie de notificare tot pentru incalcarea normelor de securitate (culmea!).
Art.47. – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp, cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.
Cf art 49 din proiect ANCOM are dreptul sa ceara un audit de securitate pe cheltuiala operatorului de comunicatii (!), dar la Dataprotection.ro nu i se da aceasta posibilitate.
Ce intelegem de aici?
Ca exista 2 proiecte de OUG care vor privi 2 obligatii de securitate distincte (!)pentru furnizorii de comunicatii electronice:
- una este obligatia de securitate a datelor personale, unde competenta va fi Dataprotection.ro
- alta va fi obligatia de securitate si integritate a serviciilor si retelelor, unde competenta va fi ANCOM.
In ambele cazuri o incalcare a acestor norme poate duce la obligatia de notificare a autoritatii si a publicului.
Dar oare un security breach “care are un impact semnificativ asupra furnizării reţelelor sau serviciilor” nu va fi in 99% din cazuri si un security breach pe date personale?
Eu, personal, cred ca da! - si astfel in 2 proiecte de lege anuntate la distanta doar de 2 saptamani reusim sa prefiguram o obligatie dubla pentru aceiasi actiune (sau inactiune).
Oare nu ar fi fost mai bine ca inainte sa ne grabim sa le punem “spre consultare publica” sa ne uitam nitel pe el, poate le corelam macar?
Nu ar fi bine sa fie un audit comun, daca tot priveste partea de securitate?
Daca tot am gindit bine audit-ul pentru ANCOM, nu putem da aceasta atributie in mod explicit si Dataprotection.ro ?
Hai ca vorbesc prostii deja - weekend placut!
(mai comentam dupa ce se adopta ceva pe subiectul asta, deja am obosit…)
Update later: Am observat mai tarziu ca proiectul a fost pus si pe site-ul ANCOM cu data de 19.10. Nici aici nu a fost anuntat public prin comunicat de presa, cum face de obicei ANCOM.
Cel putin aveti insa o versiune in care au notat in mod specific ceea ce s-a modificat fata de proiectul de lege.
Nu e musai ca cele doua sa fie echivalente. De exemplu daca cineva are access neautorizat la un router de core, el ar putea strica rutarea traficului, l-ar putea opri, filtra etc dar n-ar avea access la date personale.