drd. ec. Monica Florentina CALOPEREANU*
drd. Alin Nicuşor CALOPEREANU*
Începând cu anul 2018, tot mai des sunt vehiculate şi folosite în spaţiul public concepte precum datele cu caracter personal, protecţia sau incidente privind datele cu caracter personal, confidenţialitatea, dar, după cum arată o serie de studii derulate la nivelul Uniunii Europene, majoritatea cetăţenilor nu ştiu decât parţial la ce se referă aceste sintagme.
Dreptul la protecţia datelor cu caracter personal, ca şi dreptul la viaţa privată sunt asimilate, la nivelul Uniunii Europene, ca drepturi fundamentale ale omului. În Statele Unite ale Americii acest drept la protecţia datelor cu caracter personal este definit ca fiind un drept al consumatorului.
Primul instrument juridic internaţional care recunoştea intimitatea sau viaţa privată ca fiind un drept al omului este Declaraţia Universală a Drepturilor Omului. Dreptul la viaţa privată, respectiv protecţia acesteia (inclusiv a datelor cu caracter personal) a fost adoptat în art. 8 din Convenţia Europeană a Drepturilor Omului, respectiv în art. 7 din Carta drepturilor fundamentale ale Uniunii Europene.
Apariţia tehnologiei informaţiei în anii ’60 a condus la identificarea necesităţii de a adopta o serie de reglementări juridice privind protecţia datelor personale ale persoanelor fizice, în acest sens fiind iniţiate o suită de rezoluţii ale Comitetului de Miniştri al Consiliului Europei privind domeniul protecţiei datelor cu caracter personal. Între acestea amintim: Rezoluţia 22 din 26 septembrie 1973 privind protejarea vieţii private a persoanelor în ceea ce priveşte bazele de date electronice din sectorul privat sau Rezoluţia 29 din 20 septembrie 1974 privind protejarea vieţii private a persoanelor în ceea ce priveşte bazele de date a persoanelor din sectorul public[1].
Convenţia nr. 108 pentru protecţia persoanelor cu privire la prelucrarea automată a datelor cu caracter personal a fost adoptată de către Consiliului Europei la data de 28 ianuarie 1981 şi reprezintă unul dintre primele acte juridice adoptate la nivel inter-naţional în domeniul protecţiei datelor personale.[2] România a ratificat acest act prin Legea 682/2001, iar prin Legea 55/2005 a fost ratificat şi Protocolul adiţional la Convenţia pentru protecţia persoanelor cu privire la prelucrarea automată a datelor cu caracter personal, cu privire la autorităţile de control şi fluxul transfontalier al datelor.[3]
La 24 octombrie 1995 a fost adoptată Directiva 95/46/CE a Parlamentului Euro-pean şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestora.
Principalele motivaţii care au dus la adoptarea acestui document au fost:
– crearea unei conexiuni mai strânse între statele şi popoarele din UE;
– promovarea unor relaţii mai strânse între statele membre;
– eliminarea barierelor dintre statele europene;
– sistemele automate de prelucrare a datelor sunt create pentru a fi în serviciul omului şi este obligatoriu să respecte drepturile şi libertăţile fundamentale, mai ales dreptul la viaţa privată;
– creşterea gradului de cooperare ştiinţifică şi tehnică;
– nivelul egal al protecţiei drepturilor şi libertăţilor persoanei în toate statele membre în ceea ce priveşte prelucrarea acestui tip de date;
– statele Uniunii Europene vor asigura libera circulaţie a datelor cu caracter personal, fără restricţii motivate de considerente ce ţin de protecţia drepturilor şi libertăţilor persoanei, mai ales a dreptului la viaţă privată.
La 27 aprilie 2016 a fost adoptată Directiva (UE) 2016 privind protecţia per-soanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiu-nilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului. Motivul principal al adoptării acestei Directive este accelerat de evoluţiile tehnologice rapide şi globalizarea care au generat provocări noi pentru protecţia datelor cu caracter personal în condiţiile creşterii fără precedent a volumului de date prelucrat.[4]
În Jurnalul Oficial al Uniunii Europene, seria L119/1, a fost publicat Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor).
Motivele adoptării:
▪ Principiile referitoare la protecţia persoanelor fizice, în ceea ce priveşte prelu-crarea datelor lor cu caracter personal, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, este obligatoriu să respecte drepturile şi libertăţile fundamentale ale acestora;
▪ Unul dintre scopurile Regulamentului este să contribuie la realizarea unui dezi-derat de securitate, libertate şi justiţie, la consolidarea şi convergenţa economiilor în cadrul pieţei interne, la progresul socio-economic şi la bunăstarea persoa-nelor fizice;
▪ Apărarea dreptului la viaţa intimă, familială şi privată în privinţa prelucrării datelor cu caracter personal.
Principiile şi Necesitatea adoptării Regulamentului 679/2016
Necesitatea adoptării Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General pentru Protecţia Datelor) este prezentată în preambulul acestuia, care conţine un număr de 173 teze, un adevărat argument şi o evocare a principiilor ce se doreşte a fi respectate în urma adoptării acestui act normativ obligatoriu.
Inclusiv adoptarea unui regulament, ca act legislativ arată hotărârea de regle-mentare a domeniului. Încă din denumirea actului normativ, observăm faptul că Regula-mentul înlocuieşte o directivă. Directiva este obligatorie pentru fiecare stat membru destinatar cu privire la rezultatul care trebuie atins, lăsând autorităţilor naţionale com-petenţa în ceea ce priveşte forma şi mijloacele.
În conformitate cu art. 288, Tratatul Fundamental al Uniunii Europene, Regula-mentul are aplicabilitate generală. Acesta este obligatoriu în toate elementele sale şi se aplică direct în fiecare stat membru. În concluzie, Regulamentul este un act legislativ cu caracter obligatoriu. Trebuie aplicat în integralitatea sa, în toate statele membre.
Punerea în aplicare şi interpretarea normelor legislative din domeniul protecţiei datelor cu caracter personal este obligatorie pentru toate entităţile cu personalitate juridică, atât cele din Uniunea Europeană, cât şi cele care oferă bunuri şi servicii pe teritoriul oricărui stat din cadrul Uniunii Europene ori cetăţeni ai Uniunii Europene.
Legislaţia privitoare la prelucrarea datelor cu caracter personal este foarte stu-foasă, şi cuprinde şi alte acte normative, dintre care amintim:
- REGULAMENTUL (UE) 2018/1725 AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE;
- REGULAMENTUL (UE) 2019/56 AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI din 24 mai 2019 privind promovarea echităţii şi a transparenţei pentru întreprinderile utilizatoare de servicii de intermediere online;
- DIRECTIVA (UE) 2019/1937 A PARLAMENTULUI EUROPEAN ŞI A CONSI-LIULUI din 23 octombrie 2019 privind protecţia persoanelor care raportează încălcări ale dreptului Uniunii;
- DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN ŞI A CONSILIU-LUI din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul preve-nirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului;
- DIRECTIVA (UE) 2016/681 A PARLAMENTULUI EUROPEAN ŞI A CONSILIU-LUI din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasa-gerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave;
- DIRECTIVA 2002/58/CE din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice);
- DIRECTIVA 2000/31/CE A PARLAMENTULUI EUROPEAN ŞI A CONSILIU-LUI din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului electronic, pe piaţa internă (directiva privind comerţul electronic).
Pe lângă Regulamentele şi Directivele amintite, legislaţia privind protecţia datelor mai conţine câteva zeci de decizii, opinii ale Comisiei Europene, ghiduri ale Autorităţii Europene în domeniu, fiind abordate o multitudine de speţe întâlnite în diverse state ale Uniunii Europene.
Datele cu caracter personal şi datele cu caracter special
În contextul definiţiilor adoptate de GDPR, putem afirma că „Date cu caracter personal” trebuie considerate acele informaţii despre o persoană identificabilă care se referă la nume (numele conţinute de actele de identitate), un număr de identificare (CNP, Card de Identitate, Certificat de Naştere, Paşaport, Permis de conducere, Card asigurări sociale, etc), date de localizare (adresă, reşedinţă sau locul unde se află la un moment determinat), un identificator online (o adresă IP de exemplu), sau unul sau mai multe elemente specifice, proprii identităţii fizice, fiziologice, genetice, psihice, eco-nomice, culturale sau sociale. Nu se specifică clar, dar unele legislaţii din state europene sau din SUA consideră ca informaţie personală confidenţială genul (bărbat, femeie), nefiind obligat să îl declari când se completează chestionare sociale sau comerciale.
GDPR se aplică datelor cu caracter personal prelucrate automatizat, dar şi sis-temelor de arhivare manuală, datele personale fiind accesibile conform unui set de criterii specifice. Datele personale pseudonimizate – cum ar fi cele codificate cu o cheie electronică – pot face obiectul GDPR în funcţie de complexitate, anume, atribuirea pseudonimului unei anumite persoane.
GDPR se referă la datele personale sensibile ca la „categorii speciale de date cu caracter personal“. Aceste categorii speciale includ date genetice sau date biometrice, care sunt prelucrate pentru identificarea în mod unic a unei persoane.
În Art.9, alin. 1: „Prelucrarea de categorii speciale de date cu caracter personal”, se spune că: „se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei per-soane fizice.
În art. 4(2) se precizează că operaţiunile de „prelucrare” înseamnă orice ope-raţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea.
Punctul de start, în adoptarea unor reguli privind prelucrarea datelor cu caracter personal, se regăseşte în Considerentul 39 din GDPR:
- Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
- Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
- Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
- Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
- Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
- Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
- Operatorul trebuie să stabilească termene pentru ştergere sau revizuirea pe-riodică.
- Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echi-pamentului utilizat pentru prelucrare.
În articol ne concentrăm pe această ultimă regulă privind protecţia datelor cu caracter personal şi anume gestionarea şi securitatea prelucrării.
ALINIEREA ENTITĂŢILOR DIN UNIUNEA EUROPEANĂ
LA PREVEDERILE GDPR
Conform European Union Open Data Portal, în luna martie 2019, a fost publicat un raport privind Regulamentul general privind protecţia datelor care conţine un studiu efectuat la comanda Comisiei Europene, Directoratul General pentru Justiţie şi Consumatori şi coordonat de Directoratul General pentru Comunicare.[5]
Între aspectele prezentate în acest studiu, ni se par relevante o serie de aspecte cum ar fi:
- Utilizarea internetului
- 84% dintre respondenţi folosesc internetul. 75% o fac zilnic, în timp ce 9% îl folosesc des sau uneori. 14% spun că nu folosesc niciodată internetul, în timp ce doar 2% spun că nu au acces la internet.
- Majoritatea respondenţilor din fiecare ţară utilizează internetul zilnic, cu proporţii de la 97% în Olanda, 95% în Suedia şi 89% în Danemarca la 51% în România, 63% în Grecia şi 64% în Bulgaria. Există şapte ţări în care cel puţin 20% nu foloseşte niciodată internetul: România (33%), Polonia (24%), Grecia, Ungaria, Lituania (toate 23%), Slovacia şi Bulgaria (ambele 22%).
- Utilizarea reţelelor sociale
- Mai mult de două treimi dintre respondenţii din fiecare ţară sunt utilizatori de reţele sociale online, de la 94% în Malta, 93% în Cipru şi 90% în Portugalia până la 68% în Franţa, 70% în Cehia şi 72% în Slovenia şi Germania.
- 28% din Franţa, Cehia (21%), Slovenia şi Statele Unite (ambii 20%) spun că nu folosesc niciodată reţelele sociale online.
Achiziţionarea de bunuri sau servicii online
- 77% dintre respondenţii care utilizează Internet cumpără bunuri sau servicii online, cu toate acestea, pentru majoritatea, aceasta nu este o activitate frecventă. Doar 2% cumpără online zilnic sau aproape zilnic, 5% o fac de două sau trei ori pe săptămână şi 10% aproximativ o dată pe săptămână. Puţin peste unul din cinci (22%) cumpără online de două sau trei ori pe lună, în timp ce 38% o fac mai rar. Aproape un sfert (23%) nu cumpără niciodată bunuri sau servicii online.
Majoritatea respondenţilor consideră că au control cel puţin parţial asupra infor-maţiilor pe care le oferă online
- 65% care furnizează informaţii personale online simt că au cel puţin un control parţial asupra acestor informaţii: 14% consideră că au control complet şi 51% că au control parţial.
- 62% dintre respondenţi care consideră că deţin parţial sau nu controlează informaţiile pe care le furnizează spun că sunt îngrijoraţi de acest lucru.
- Dintre respondenţii care utilizează internetul, 57% spun că sunt cel puţin uneori informaţi despre condiţiile în care datele lor sunt colectate şi pot fi utilizate în continuare: 22% spun că sunt întotdeauna informaţi, în timp ce 35% spun că sunt informaţi uneori.
- Majoritatea utilizatorilor de reţele sociale (56%) au încercat să schimbe con-fidenţialitatea implicită setărilor profilului lor. Cel mai frecvent motiv pentru care nu o fac este faptul că utilizatorii au încredere ca site-urile să seteze setări adecvate de confidenţialitate (29%) sau că nu ştiu cum să o facă.
- Cele mai frecvente trei motive pe care utilizatorii de reţele sociale le dau pentru că nu încearcă să le schimbe setările implicite ale profilului personal sunt că au încredere în site-uri pentru a seta confidenţialitate adecvată (29%), că nu ştiu cum (27%) sau că nu sunt îngrijoraţi de partajarea datelor lor personale (20%).
Conştientizarea existenţei Regulamentului general privind protecţia datelor
- Majoritatea (67%) dintre respondenţi au auzit de GDPR: 36% au auzit de GDPR şi ştiu ce este, şi 31% au auzit de GDPR, dar nu ştiu exact ce este. 32% nu au auzit de GDPR;
- Majoritatea respondenţilor din toate ţările, cu excepţia celor din Franţa (44%) şi Italia (49%), au auzit despre GDPR în proporţii ce variază de la 90% în Suedia, 87% în Olanda şi 86% în Polonia la 53% în Belgia şi 58% în Cipru şi Estonia. Excepţiile sunt Franţa (44%) şi Italia (49%). Există şase ţări în care cel puţin jumătate dintre respondenţi au auzit de GDPR şi ştiu ce este: Suedia (63%), Olanda (60%), Polonia (56%), Danemarca (51%), Irlanda şi Cehia (ambele 50%);
- 73% au auzit de cel puţin un drept garantat de GDPR, 31% au auzit de toate drepturile persoanelor vizate, în timp ce 27% nu au auzit de niciunul dintre ele;
- Cele mai exercitate trei drepturi sunt dreptul de a obiecta la primirea de mesaje privind marketingul direct (24%), dreptul de a accesa datele cu caracter personal (18%) şi dreptul de a corecta datele cu caracter personal dacă sunt greşite (16%);
- 57% afirmă că au auzit despre existenţa unei autorităţi publice în ţară responsabile de protejarea drepturilor lor cu privire la datele lor personale;
- 20% dintre respondenţi ştiu care autoritate publică este responsabilă pentru protejarea datelor lor.
Conştientizarea privind Autorităţile de Supraveghere Naţionale
- Respondenţii din Olanda (82%), Letonia (76%) Finlanda şi Suedia (ambele 74%) sunt cei mai informaţi despre o astfel de autoritate, în timp ce cei din Spania (40%), România (46%) şi Ungaria (47%) sunt cel mai puţin informaţi.
- În 17 ţări, cel puţin 20% dintre respondenţi ştiu care autoritate publică este responsabilă, cu cele mai mari proporţii observate în rândul celor din Letonia, Irlanda (ambele 28%), Finlanda, Estonia şi Polonia (toţi 27%).
Aspectele prezentate în studiul comandat de Comisia Europeană arată faptul că aplicarea prevederilor GDPR este foarte eterogenă la nivelul ţărilor din Uniunea Europeană, în timp ce ţările din vestul continentului au un nivel de conştientizare mult mai evident decât cele din estul continentului.
INCIDENTELE DE SECURITATE PRIVIND DATELE
CU CARACTER PERSONAL ŞI SECURITATEA PRELUCRĂRII
Asigurarea securităţii prelucrării datelor cu caracter personal este una din prin-cipalele provocări impuse de adoptarea măsurilor organizatorice şi tehnice care să ofere garanţii adecvate privind prelucrarea datelor cu caracter personal.
Regulamentul 679/2016 defineşte la articolul 4 (12) incidentele de securitate şi anume: „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Regulamentul 679/2016 identifică, la art. 32: Securitatea prelucrării, principa-lele măsuri ce pot asigura securitatea prelucrării, dar şi factorii ce influenţează nivelul acesteia:
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de Securitate corespunzător acestui risc, incluzând printre altele, după caz:
- a) pseudonimizarea şi criptarea datelor cu caracter personal;
- b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
- c) capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
- d) un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.[6]
Astfel, pseudonimizarea şi criptarea datelor cu caracter personal reprezintă procedee de anonimizare a datelor prelucrate, atât în format fizic, cât şi electronic. Criptarea, deşi reprezintă o metodă foarte înaltă de securizare, este total ineficientă dacă datele criptate sunt trimise prin acelaşi canal cu cheia de decriptare. De asemenea, pseudonimizarea este ineficientă dacă algoritmul respectiv este cunoscut de persoane neautorizate.
Asigurarea confidenţialităţii, integrităţii, disponibilităţii şi rezistenţei continue ale sistemelor şi serviciilor de prelucrare reprezintă acţiuni adecvate de protecţie la nivelul fiecărei prelucrări. Pe lângă măsuri de ordin tehnic este obligatorie adoptarea unor activităţi ce presupun, între altele, acţiuni de informare a persoanelor vizate, respon-sabilizare, antrenare a personalului implicat în prelucrare, mentenanţa sistemelor folosite, evaluarea tuturor mijloacelor şi metodelor folosite în prelucrare etc.
Restabilirea disponibilităţii datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică reprezintă una din priorităţile operatorului în cazul apariţiei oricărui incident privind datele cu caracter personal.
În practică, în funcţie de modul de apariţie al incidentelor de securitate la protecţia datelor cu caracter personal, putem identifica 2 tipuri de incidente: interne şi externe.
Incidentele interne privind protecţia datelor cu caracter personal reprezintă peste 75% din totalul incidentelor de acest gen înregistrate până în prezent şi se datorează exclusiv operatorului responsabil cu prelucrarea. Dintre principalele cauze amintim:
- lipsa măsurilor de protecţie adecvate (aspect întâlnit în principal în ţări care nu au o cultură a confidenţialităţii, aşa cum este şi România), inclusiv în cadrul relaţiilor dintre diferite entităţi cu personalitate juridică;
- tratarea cu indiferenţă a domeniului sau „mimarea” unor măsuri de protecţie a datelor, fără a lua cu adevărat măsuri;
- slaba pregătire a angajaţilor care prelucrează efectiv datele cu caracter personal (lipsa unor programe adecvate de pregătire / perfecţionare);
- neatenţia / suprasolicitarea / oboseala angajaţilor;
- reavoinţa unor angajaţi / parteneri.
Măsurile ce pot fi adoptate pentru evitarea acestui tip de incidente se referă, fără a detalia, la aspecte precum:
- implementarea unor măsuri adecvate de securitate şi a unor reguli de prelucrare clare;
- o ordonare a proceselor din interiorul entităţii;
- motivarea angajaţilor şi pregătirea periodică a acestora privind protecţia datelor cu caracter personal;
- implementarea unor măsuri tehnice de supervizare a operaţiunilor ce presupun transferul electronic al documentelor ce conţin date cu caracter personal.
Incidentele externe privind protecţia datelor cu caracter personal se pot clasifica în 2 categorii: incidente la protecţia fizică a datelor şi incidente la protecţia datelor cu caracter personal prelucrate în format electronic.
Incidentele la protecţia fizică sunt cel mai rar întâlnite incidente în domeniu, fiind cel mai uşor de combătut prin măsuri adecvate de pază, obligatorii de altfel la nivelul oricărei entităţi sau instituţii. Minimal, se pot lua măsuri de control al accesului, supra-veghere video a căilor de acces şi a zonelor de risc, montarea unor dispozitive elec-tronice de alarmare, folosirea unor spaţii de depozitare asigurate corespunzător, etc.
Incidentele externe la protecţia datelor cu caracter personal prelucrate în format electronic sunt una din componentele principale ale incidentelor din domeniul cyber-security. Aşa cum se precizează şi în definiţia datelor cu caracter personal, identificatorii online ai unei persoane (adresă mail, IP, cookie IP, parole de acces) reprezintă date cu caracter personal, chiar dacă atacul informatic ţinteşte o entitate cu personalitate juridică. Parola de acces la sistemul informatic, ca şi identitatea angajatului care foloseşte sistemul reprezintă date cu caracter personal ale unei persoane fizice, chiar dacă sistemul este proprietatea unei persoane juridice.
INCIDENTELE CIBERNETICE LA PROTECŢIA DATELOR CU CARACTER PERSONAL,
POSIBIL RISC ASIMETRIC LA ADRESA SECURITĂŢII ECONOMICE
Riscul atacurilor cibernetice a depăşit nivelul „clasicelor” breşe de securitate sau scurgeri accidentale de date confidenţiale, în prezent fiind întâlnite scheme complexe, sofisticate, care pot afecta o companie sau o întreagă industrie, gestionarea lanţului logistic de aprovizionare ori, la nivel guvernamental, extrapolând, poate fi afectată funcţionarea unui stat. Pagubele se ridică la miliarde de euro şi afectează companiile din orice sector de activitate şi economiile naţionale.
„Costurile criminalităţii cibernetice au crescut dramatic în ultima perioadă. Incidentele în securitate reprezintă o ameninţare din ce în ce mai mare pentru repu-taţia, pentru stabilitatea economică a organizaţiilor şi a instituţiilor financiare în acelaşi timp. Un studiu comparativ între 2013 şi 2017 ne spune că riscurile cibernetice au urcat pe locul trei în top 10 riscuri care ameninţă organizaţiile. În 2013 ele nici măcar nu se aflau în top 10, ceea ce înseamnă că trebuie să ne preocupe din ce în ce mai mult. Incidentele de securitate a informaţiei acum sunt undeva în jur de 30% din totalul riscurilor care ameninţă organizaţiile şi depăşesc riscurile legate de incendii, de dezastre naturale, de schimbări legislative, de fluctuaţii la nivel politic. Deci, trebuie să le luăm în calcul din ce în ce mai mult”[7].
„600 de miliarde de dolari la nivel global au fost costurile atacurilor cibernetice, costuri preventive, dar şi costuri reactive. Costul mediu al unui incident de securitate este de 11,7 milioane de dolari. 600.000 de atacuri web în fiecare zi, dintre care 24.000 sunt atacuri la nivelul aplicaţiilor mobile.”[8] Cele mai multe atacuri cibernetice vin de la hackeri şi de la Crima organizată. În top 3 al surselor atacurilor cibernetice se află China, SUA şi Rusia, în timp ce România ocupă, după unele statistici, locul 7 la nivel mondial.[9]
Pentru o firmă mică si mijlocie, pierderea medie în urma unui atac cibernetic este de 86.500 de dolari, potrivit unui studiu realizat de Kaspersky Lab.
Potrivit studiului amintit, urmările unui incident cibernetic sunt:
- 38,9% din firme au raportat scăderi ale productivităţii;
- 34,6% au avut angajaţi care nu au putut folosi în mod adecvat resursele IT;
- 28,5% au pierdut dispozitive care conţin date[10].
Pe lângă acest tip de consecinţe, în cazul pierderilor cauzate efectiv de atacul informatic în sine, pierderea datelor cu caracter personal ale clienţilor poate duce la amenzi de un nivel extrem, acestea fiind raportate conform GDPR la cifra de afaceri globală.
Vom prezenta în continuare o scurtă statistică referitoare la amenzile GDPR în Europa.
Amenzi GDPR mai 2018 – martie 2020 la nivelul Uniunii Europene
Suma totală a amenzilor aplicate în perioada mai 2018-martie 2020 este de: 459.272.986 euro[11].
Campioana UE la numărul de amenzi aplicate este Spania, cu 69 astfel de amenzi, urmată de Germania (22), România (21), Bulgaria (16), etc. Ţările cu cele mai puţine amenzi sunt Cipru (8), Italia (7) şi Belgia (6).
Cuantumul amenzilor, raportat la numărul acestora este condus de Marea Britanie (3 amenzi – 315.310.200 Euro), Franţa (5 amenzi – 51.100.000 Euro), Italia (7 amenzi – 39.420.000 Euro), Germania (22 amenzi – 25.085.725 Euro), Austria (8 amenzi – 18.070.100), Bulgaria (16 amenzi – 3.198.460), Spania (69 amenzi – 2.375.070). România nu se află în statistici, deşi se află pe un loc fruntaş în cazul numărului de incidente. Se observă o abordare diferită a consecinţelor unui incident la protecţia datelor cu caracter personal între ţările din vestul Europei, faţă de cele din est, în sensul în care domeniul protecţiei datelor este abordat mult mai serios în vest.
Principalul motiv pentru sancţionarea entităţilor este lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor, pentru care s-au acordat amenzi în valoare de 332.717.927 Euro.
Cele mai mari amenzi din Europa pentru incidente la protecţia datelor sunt:
08.07.2019 – British Airways (Marea Britanie) – 204.600.000 Euro pentru lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor;
09.07.2019 – Marriott International, Inc (Marea Britanie) – 110.390.200 Euro pentru lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor;
21.01.2019 – Google Inc. (Franţa) – 50.000.000 Euro – Lipsa temeiului legal pentru prelucrarea datelor;
15.01.2020 – TIM (telecommunications operator) (Italia) – 27.800.000 Euro – Lipsa temeiului legal pentru prelucrarea datelor;
23.10.2019 – Austrian Post (Austria) – 18.000.000 Euro – Lipsa temeiului legal pentru prelu-crarea datelor;
30.10.2019 – Deutsche Wohnen SE (Germania) – 14.500.000 Euro – Lipsa conformării cu principiile generale de protecţie a datelor cu caracter personal;
09.12.2019 – Telecoms provider (1&1 Telecom GmbH) (Germania) – 9.550.000 Euro – Lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor;
11.12.2019 – Eni Gas e Luce (Italia) – 8.500.000 Euro – Lipsa temeiului legal pentru prelucrarea datelor;
11.12.2019 – Eni Gas e Luce (Italia) – 3.000.000 Euro – Lipsa temeiului legal pentru prelucrarea datelor;
28.08.2019 – National Revenue Agency (Bulgaria) – Lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor.[12]
În esenţă, explicaţia motivului amenzii indică şi tipul de incident avut şi anume:
Lipsa sau numărul redus de măsuri tehnice şi organizatorice luate pentru a asigura securitatea datelor este un incident de natură externă – furt / pierdere a datelor prelucrate, în timp ce lipsa temeiului legal pentru prelucrarea datelor este un tip de incident intern – nerespectarea principiilor de prelucrare a datelor conform GDPR. Inci-dentele la protecţia datelor cu caracter personal au efecte diverse, acestea ducând la consecinţe cum ar fi:
- riscul unor amenzi uriaşe;
- riscul pierderii reputaţiei comerciale;
- riscul de a fi obligat în instanţă la plata unor despăgubiri către persoanele ale căror date cu caracter personal au fost vizate de atacul respectiv;
- impunerea unor măsuri de siguranţă suplimentare din partea partenerilor co-merciali, ce se pot traduce în costuri suplimentare de securizare a sistemelor de protecţie.
Uniunea Europeană, în documentul Provocări pentru o politică eficace a UE în domeniul securităţii cibernetice[13], elaborat de Curtea de Conturi Europeană, clasifică Criminalitatea informatică – diverse activităţi infracţionale care implică computere şi sisteme informatice fie ca instrument principal, fie ca ţintă principală. Aceste activităţi includ: infracţiuni clasice (cum ar fi frauda, falsul şi furtul de identitate); infracţiuni legate de conţinut (de exemplu, distribuirea de pornografie infantilă sau incitarea la ură rasială online) şi infracţiuni specifice computerelor şi sistemelor informatice (de exemplu, atacuri împotriva sistemelor informatice, atacuri de tip DDoS – de blocare a accesului şi programe malware).
Securitatea cibernetică implică prevenirea sau detectarea incidentelor cibernetice, răspunsul la acestea şi redresarea ulterioară. Incidentele pot fi provocate intenţionat sau nu şi acoperă situaţii foarte diverse, de exemplu de la divulgări accidentale de informaţii până la atacuri asupra întreprinderilor şi infrastructurilor critice, furtul de date cu caracter personal şi chiar ingerinţe în procesele democratice. Toate aceste incidente pot avea efecte negative de amploare asupra persoanelor, a organizaţiilor şi a comunităţilor.
„Cele mai mari preocupari ale IMM-urilor sunt programele malware, în special cele de tip ransomware, atacurile cu ţinta predefinită, phishing-ul şi alte tehnici de social engineering, precum şi vulnerabilităţi necunoscute. Cercetarea a mai arătat că, în medie, un singur incident de securitate cibernetică din prezent costă IMM-urile 86.500 de dolari. Costul de recuperare creşte semnificativ, în funcţie de momentul în care este descoperit incidentul. IMM-urile tind să plăteasca cu 44% mai mult în urma unui atac descoperit la o săptămână sau mai târziu după breşa iniţială, comparativ cu cele detectate la o zi”, se arată în raportul numit „The Evolving Role of SaaS and IT Outsourcing in SMB IT Security”.
Un alt lucru foarte interesant, care merită menţionat, este faptul că 40% dintre IMM-urile din Europa care au participat la studiu recunosc că nu au priceperea sau informaţii suficiente despre ameninţările la adresa companiei lor. În această situaţie, creşte numărul de IMM-uri care apelează la outsourcing – 62% folosesc deja furnizori de servicii de securitate IT externi, iar 18% plănuiesc acest lucru. La sondaj au răspuns peste 4.000 de companii, din 25 de ţări.[14]
Cunoscute sub denumirea generică de pachete ale securităţii cibernetice („Cyber-security package”), evoluţiile legislative şi la nivel strategic ale UE au cunoscut o dezvoltare organică incrementală în timp, acestea cuprinzând pe lângă versiuni noi ale Strategiei de Securitate Cibernetică a UE (2013, 2017 şi 2020) şi propuneri de acte normative care să adreseze problematica complexă şi evolutivă a securităţii cibernetice.[15].
Strategia UE pentru securitate cibernetică Perioada 2013-2019 a fost însoţită de Directiva privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi siste-melor informatice în Uniune (directiva NIS – Directiva Uniunii Europene (UE) 2016/1148) care a stabilit cerinţele minime pentru pregătirea cibernetică a statelor membre şi a impus obligativitatea asigurării protecţiei cibernetice a celor mai importante servicii şi infrastructuri.
La 16 decembrie 2020, a fost adoptată o nouă strategie de securitate ciber-netică a UE, „The EU’s Cybersecurity Strategy for the Digital Decade”, componentă cheie a viitorului digital al Europei. Scopul acestei strategii este de a consolida rezilienţa Europei la ameninţările cibernetice şi de a asigura servicii şi instrumente digitale fiabile şi de încredere. Noua strategie este însoţită de două propuneri legislative, respectiv:
- o propunere de actualizare a directivei NIS pentru o mai bună protecţie a reţelelor şi a sistemelor informatice
- o propunere de directivă privind rezilienţa entităţilor critice.
Figura 1. Modul în care Regulamentul 679/2016 şi Directiva NIS sunt complementare[16]
Noua strategie de securitate cibernetică urmăreşte asigurarea unui internet global deschis şi prevede totodată garanţii menite să asigure nu numai securitatea, ci şi protejarea valorilor europene şi a drepturilor fundamentale ale omului, fiind structu-rată pe trei paliere, respectiv: rezilienţă, suveranitate tehnologică şi poziţia de lider a UE; consolidarea capacităţii operaţionale de prevenire, descurajare şi răspuns; pro-movarea unui spaţiu cibernetic global şi deschis printr-o cooperare sporită.[17]
De asemenea, strategia prevede reformarea normelor privind securitatea reţelelor şi a sistemelor informatice (Directiva NIS revizuită sau „NIS 2”), crearea unei unităţi comune de securitate cibernetică („Joint Cyber Unit”) de cooperare între organismele UE şi autorităţile statelor membre în domeniul securităţii cibernetice, crearea „EU cybershield” ca o reţea SOC (Security Operations Centers) pentru conectivitate sigură, inclusiv 5G, autonomia lanţului de furnizare, consolidarea educaţiei digitale, creşterea cooperării cu partenerii internaţionali, consolidarea apărării cibernetice prin revizuirea Cadrului Politicii de Apărare Cibernetică UE prin creşterea coordonării şi încurajarea statelor pentru a dezvolta capabilităţi de apărare cibernetică, consolidarea capacităţii globale pentru abordarea ameninţărilor cibernetice (dezvoltarea agendei privind EU external capacity building, prioritate asupra regiunii Balcanilor de Vest, vecinătăţii UE şi statelor partenere care au o dezvoltare digitală rapidă) etc.[18]
Propunerea de Directivă privind rezilienţa entităţilor critice extinde şi aprofundează domeniul de aplicare al Directivei din 2008 privind infrastructurile critice europene, fiind vizate zece sectoare: energia, transporturile, activitatea bancară, infrastructurile pieţei financiare, sănătatea, apa potabilă, apa reziduală, infrastructura digitală, administraţia publică şi spaţiul.[19]
Găzduirea Centrului de competenţe la Bucureşti
La data de 9 decembrie 2020, oraşul Bucureşti (România) a fost selectat de reprezentanţii guvernelor statelor membre ale UE pentru a găzdui viitorul sediu al noului Centru de competenţe european industrial, tehnologic şi de cercetare în materie de securitate cibernetică.
Centrul va îmbunătăţi coordonarea cercetării şi a inovării în domeniul securităţii cibernetice în UE. Acesta va fi, de asemenea, principalul instrument al UE de punere în comun a investiţiilor pentru cercetarea şi dezvoltarea tehnologică şi industrială în domeniul securităţii cibernetice.[20]
AMENINŢĂRILE CIBERNETICE – AMENINŢĂRI ASIMETRICE
SAU AMENINŢĂRI HIBRIDE
Riscurile şi ameninţările generale în materie de securitate sunt cunoscute şi directe astfel că, împotriva acestora, se pot lua măsuri concrete de prevenire şi/sau limitare a efectelor. Pe lângă acestea, există şi sunt întâlnite tot mai frecvent amenin-ţări numite asimetrice şi/sau hibride. Ameninţările asimetrice sunt folosite mai ales de către entităţi non statale, aşa cum sunt grupările teroriste, insurgenţa, gherila sau organizaţii de crimă organizată transnaţională. Aceste ameninţări pot fi puse în practică prin metode şi proceduri convenţionale, dar mai ales neconvenţionale[21].
Ciberterorismul se află la convergenţa terorismului cu spaţiul cibernetic. El poate fi definit drept atacuri şi/sau ameninţări ilegale împotriva calculatoarelor, reţelelor informatice, bazelor de date stocate atât pentru a intimida, cât şi pentru a constrânge un guvern sau persoane să cedeze în plan social sau politic. Atacurile serioase împotriva infrastructurilor critice pot fi socotite acte de ciberterorism conform impactului lor. Ata-curile care perturbă serviciile publice sunt destul de costisitoare[22].
Ameninţările cibernetice sunt considerate drept riscuri asimetrice la securitatea unui stat sau alianţe statale astfel că, la nivelul NATO, apărarea cibernetică este o componentă cheie a apărării colective în cadrul NATO. Scopul apărării cibernetice în cadrul NATO este de a proteja reţelele proprii (inclusiv operaţiunile şi misiunile) şi de a creşte rezilienţa în interiorul alianţei. NATO a afirmat aplicabilitatea dreptului inter-naţional în spaţiul cibernetic şi recunoaşte totodată beneficiile pentru aliaţi aduse de un spaţiu cibernetic bazat pe norme, predictibil şi sigur. Evoluţia rapidă a naturii ame-ninţărilor cibernetice a necesitat adoptarea de către Organizaţia Nord-Atlantică a unui nou concept şi a unei noi politici în domeniul apărării cibernetice şi recunoaşterea spaţiului cibernetic ca domeniu operaţional.
Cu ocazia Summit-ului NATO din Ţara Galilor (Marea Britanie) din septembrie 2014, a fost adoptată Politica Întărită a NATO în domeniul apărării cibernetice („En-hanced NATO Policy on Cyber Defence”), precum şi Planul de Acţiune revizuit. Ulterior Summit-ului a fost introdusă pe agenda comitetului tema cooperării NATO cu industria de specialitate în scopul realizării cadrului de cooperare NATO – industrie, prevăzut de noua politică.
Recunoaşterea spaţiului cibernetic ca domeniu operaţional a reprezentat un pas legitim în sprijinul capacităţii Alianţei NATO de a răspunde la ameninţările cibernetice faţă de principalele sale interese si securitatea colectivă.[23]
Summit-ul NATO de la Bruxelles din 2018 a avut ca obiectiv crearea unor capabilităţi egale la nivelul fiecărui SM de a reacţiona la atacuri cibernetice, în timp ce, la nivel concret, declaraţia statuează că acest proces este unul permanent.
Cooperarea strânsă între NATO şi UE reprezintă un alt element important în dezvoltarea unei „abordări cuprinzătoare” internaţionale de gestionare a operaţiilor şi crizelor, care impune aplicarea efectivă atât a mijloacelor militare, cât şi a celor civile.
La Summitul de la Bruxelles din 2018, a fost agreată crearea unui Centru de Operaţiuni pentru Securitate Cibernetică (CYOC – Cyber Operations Center). Centrul va furniza informaţii situaţionale şi coordonare a activităţilor operaţionale ale NATO în spaţiul cibernetic. Cu aceeaşi ocazie, aliaţii au agreat ca NATO să utilizeze capabilităţi cibernetice naţionale pentru misiunile şi operaţiunile sale.
La reuniunea miniştrilor apărării ai NATO din februarie 2019 a fost adoptat Ghidul NATO care stabileşte un set de instrumente pentru dezvoltarea capacităţii alianţei de a răspunde la activităţile cibernetice rău intenţionate. Conform ghidului, NATO trebuie să utilizeze toate instrumentele pe care le are la dispoziţie, inclusiv instrumente politice, diplomatice şi militare pentru a face faţă ameninţărilor cibernetice. Opţiunile de răspuns incluse în ghidul NATO vor ajuta alianţa şi pe membrii săi să cunoască mai bine rea-lităţile din spaţiul cibernetic şi acţiunile ce au loc în acest mediu, să îşi crească rezilienţa şi să conlucreze împreună cu partenerii pentru a descuraja, a se apăra împotriva şi a contracara întregul spectru de ameninţări cibernetice.[24]
La 3 iunie 2020 Consiliul Nord-Atlantic a dat publicităţii o declaraţie referitoare la atacurile cibernetice asociate perioadei pandemiei de Coronavirus. În declaraţie se arată unitatea blocului Nord-Atlantic în faţa pandemiei şi se condamnă atacurile ciber-netice ce utilizează ca temă Covid-19, precum şi cele asupra instituţiilor cheie în lupta împotriva pandemiei precum spitale, servicii de sănătate şi institute de cercetare, arătându-se faptul că acestea pun în pericol viaţa cetăţenilor. În declaraţie se mai arată sprijinul pe care aliaţii l-au oferit în perioada pandemiei, solidaritatea cu statele şi instituţiile afectate de atacurile cibernetice şi se reafirmă angajamentul NATO privind apărarea cibernetică (Cyber Defence Pledge), precum şi angajamentul pentru un spaţiu cibernetic deschis, liber, predictibil în care este asigurată supremaţia legii. Consolidarea apărării cibernetice, actualizarea politicilor privind apărarea cibernetică şi, corespunzător, a procedurilor, adaptarea la noile realităţi tehnice, geo-politice şi strategice sunt procese continue necesare menţinerii unui nivel înalt de capacitate privind apărarea cibernetică.
NATO desfăşoară o revizuire a Politicii Întărite în domeniul apărării cibernetice şi o adaptare continuă care să permită o abordare unitară a domeniului, menţinerea posturii Alianţei, răspunsul rapid şi eficient la incidente, asigurarea rezilienţei şi roluri şi responsabilităţi clare. Revizuirea este în linie cu obiectivele politicilor NATO de întărire a posturii de descurajare şi apărare, dar şi de creştere a rezilienţei, teme importante ale reuniunii Miniştrilor Apărării NATO din octombrie 2020.
În cadrul OSCE, problematica securităţii cibernetice face obiectul activităţii Grupului de Lucru Informal Cyber (Informal Working Group on Cyber / IWG).
Setul de măsuri de creştere a încrederii în domeniul securităţii cibernetice adoptat la OSCE în 2013 a reprezentat un succes al cooperării internaţionale şi al OSCE, ca organizaţie, care a devenit un pionier în domeniu şi prima organizaţie regională care adoptă astfel de măsuri.
Documentul CBMs cuprinde referiri la importanţa respectării dreptului interna-ţional şi la responsabilităţile statului în respectarea drepturilor omului şi a libertăţilor fundamentale în activităţile legate de promovarea securităţii cibernetice.
În martie 2016 a fost adoptat cel de-al doilea set CBMs[25], care reprezintă o continuare a primului set de măsuri, o extindere a lor şi nu un set separat, ce pune accentul asupra consolidării capacităţii, schimbului de informaţii între state şi promo-varea parteneriatului public-privat, ca principale direcţii de acţiune.[26]
La nivelul ONU, problematica evoluţiilor în domeniul tehnologiei informaţiei şi comunicaţiilor în contextul securităţii internaţionale, în particular al comportamentului responsabil statal în spaţiul cibernetic face obiectul discuţiilor purtate încă din anul 1998.
Se remarcă în special recunoaşterea de către Adunarea Generală a ONU a faptului că dreptul internaţional se aplică în spaţiul cibernetic şi acordul privind normele de comportament responsabil statal în spaţiul cibernetic. Aceste dimensiuni au fost statuate prin rapoartele UNGGE 2013 şi 2015 (rezoluţia UNGA – United Nations General Assembly Resolution 70/237) adoptate prin consens de către statele membre ONU.[27]
Considerăm că protecţia datelor cu caracter personal, ca parte a securităţii cibernetice, dar şi ca activitate ce reprezintă oportunităţi legate de reglementarea proceselor şi fluxurilor de date din interiorul entităţilor, este o activitate esenţială în contextul actual de securitate.
Un atac concertat asupra unor entităţi economice privind datele cu caracter personal poate duce la afectarea gravă a unor industrii, a unor activităţi specializate, iar noi considerăm că implementarea unor măsuri de protecţie anticipative (măsurile reactive pot fi tardive în protecţia datelor cu caracter personal) este singura variantă în care ne putem proteja împotriva unor incidente.
Conexiunea strânsă între datele cu caracter personal prelucrate la nivelul entităţilor şi securitatea cibernetică a structurii este un deziderat care poate fi realizat în comun şi această ameninţare să fie transformată într-o oprtunitate de reformare şi ordonare a activităţii curente.
* Academia de Studii Economice din Bucureşti
[1] Dragoş Marian Radulescu, Daniela Iuliana Radu, Marius Eugen Radu (coord) – Implementarea şi impactul regulamentului UE privind protecţia datelor cu caracter personal (GDPR) în România, ed. DIO, Bucureşti, 2018, p. 18
[2] Idem, p. 19
[3] Idem, p. 19
[4] Idem, p. 20
[5] https://www.privacy-web.nl/cms/files/2019-06/ebs487a-en.pdf
[6] Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor RGPD 2018), art. 32
[7] https://taz.ro/ro/blog/costul-mediu-al-unui-incident-de-securitate-cibernetica-117-milioane-de-dolari-cat-de-pregatita-este-compania-ta.html
[8] Idem
[9] Idem
[10] https://www.connsys.ro/blog/21/Cat-costa-pentru-o-firma-un-incident-de-securitate-cibernetica
[11] https://gdprcomplet.ro/amenzi-gdpr-2018-2020-martie-la-nivelul-uniunii-europene/
[12] https://gdprcomplet.ro/amenzi-gdpr-2018-2020-martie-la-nivelul-uniunii-europene/
[13] https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_RO.pdf
[14] https://www.connsys.ro/blog/21/Cat-costa-pentru-o-firma-un-incident-de-securitate-cibernetica
[15] https://www.mae.ro/node/28369
[16] https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECURITY_RO.pdf
[17] Idem
[18] Idem
[19] Idem
[20] Idem
[21] Petre Duţu, Ameninţări asimetrice sau ameninţări hibride: delimitări conceptuale pentru fundamentarea securităţii şi apărării naţionale Editura Universităţii Naţionale de Apărare „Carol I”, Bucureşti, 2013, la https:// cssas.unap.ro/ro/pdf_studii/amenintari_asimetrice_sau_amenintari_hibride.pdf
[22] Idem
[23] https://www.mae.ro/node/28369
[24] Idem
[25] https://www.mae.ro/node/28369#_ftn6
[26] Idem
[27] Idem
Coments