Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Вести
18 апр
2017
 
 

След една година влиза в сила нов ЕС регламент за личните данни

2341 прочитания, 0 коментара

Александър Главчев

След малко повече от една година, на 25 май 2018 г., официално трябва да влезе в сила Регламент (ЕС) 2016/679, касаещ защитата на физически лица във връзка с обработването на техни лични данни и в контекста на свободното движение на такива данни. Въпреки, че законът бе обнародван в Официалния вестник на Европейския съюз още в началото на май миналата година у нас темата на практика не се дискутира, алармира родната компания Centio, специализираща в областта на информационната сигурност.

Източник: Centio

Прочетете още: До 2020 г. услуги в умните градове ще имат достъп до лични данни

Целта на новия „Общ регламент за защита на личните данни“ е да хармонизира регулациите, касаещи обработката и съхранението на лични данни в страните от Европейския съюз и да усъвремени настоящата, вече морално остаряла, законова рамка, която е приета през далечната 1995 г. Според Европейската комисия въвеждането на единни правила ще спести на бизнеса сумарно около 2,8 млрд. евро от правни разходи. Редно е също така да се подчертае, че с тях ще трябва да се съобразят и чужди компании, които оперират на територията на ЕС.

Според Centio новата директива засяга на практика всеки бизнес, който има досег с данни на физически лица. Въпросните данни са с много широк обхват – става дума както за „стандартните“ имена, адреси и телефони, така и съобщения в популярните социални мрежи. В регламента всичко това е описано с широка формулировка за информация, позволяваща пряко или непряко идентифициране на физическо лице.

Личните данни най-общо се делят на три вида: специални (разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения генетични и биометрични даннии др.), общи (лични данни, които са свързани с криминални или данъчни нарушения, финансова информация, оценки и друга информация от работодател) и други(имейли на служители, лични номера на служители, изображения на служители, подписани финансови и други документи).

Санкциите при неспазване на регламента са глоби в размер до 4% от годишния оборот в световен мащаб на компанията или до 20 млн. евро, като се взима по-високата сума. За нарушение се счита “нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”.

Според Centio

80% от организациите не са подготвени за новите правила.

От там допълват, че процесът за привеждане в съответствие трябва да започне с инвентаризация на съхраняваните данни. Чрез нея трябва да се установи дали информацията е обект на регулацията и случай, че това е така да бъде набелязани следващи стъпки, които могат да бъдат разделени на технологични и организационни мерки.

Първата от двете групи включва технологичните решения, които ще бъдат използвани за покриване на изискванията. В текста на регламента се говори за псевдонимизация и криптиране на личните данни.

Сред организационните мерки пък може да е посочване на отговорно лице за защита данните (Data Protection Officer, DPO). Тук създателите на регламентa са използвали за модел немското законодателство, според което повечето компании трябва разполагат с DPO. В новите европейски изисквания това изискване е по-ограничено, като са предвидени следните сценарии: при систематична работа с лични данни или при обработка на специални категории информация (т.е. чувствителна информация като здраве, религия, раса, сексуална ориентация и т.н.).

Необходим е и анализ на процесите, в рамките на които се обработват данни на европейски граждани. Той трябва да установи дали тези процеси функционират в съответствие с изискванията на регламента. Фирма Centio е партньор на ESET за България, които предлагат решението Deslock за криптиране не информация.

В регламента са предвидени още неща като информирано съгласие за обработка и използване на лични данни (включително съгласие от страна на настойник, в случай че потребителят е непълнолетен), осигуряване на правото на потребителя „да бъде забравен“, както и на възможност за преносимост на данните. Последното изискване може да означава създаване на възможност за прехвърляне да данни за потребителската активност от например Facebook към конкурентна социална мрежа (по модела правото за преносимост на мобилните телефонни номера).

Според Centio именно

организационните мерки ще бъдат най-трудни за българския бизнес.

Един от интересните моменти в регламента е т.нар. „сигурност по подразбиране“. Те.е без получаване на изрично съгласие страна на физическото неговите личните данни не могат публично достъпни. „Това означава, че когато имплементирате нова дейност, или реорганизиране стара, вие трябва да имате предвид изискванията на регламента и да ги вплетете в основата на тази промяна“, обяснява Спас Иванов от Centio.

Спас Иванов

Друг важен момент в новите изисквания е, че служителите в дадената компания трябва да имат достъп само тези лични данни, които са пряко свързани с тяхната работа. Нарушаването на това правило, дори да не е налице теч на информация извън пределите на компанията, представлява инцидент, попадащ в обхвата на новия европейски закон.

Редно е да се подчертае, че компаниите, сертифицирани по международния стандарт ISO/IEC 27001 изпълняват изискванията на регламента.

По думите на Иванов е важно да се подчертае още, че в случай на инцидент според новите правила компаниите се разглеждат като „виновни до доказване на противното“. Това означава, че в случай на изтичане на лични данни дадената фирма ще трябва да докаже, че вината не е нейна и че тя е взела предвид всички предвидени по закон мерки.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ

Фирмите представят

Слайдшоу
ИНТЕРВЮ
Стандартизирането към добрите практики на ITIL: приоритет за VIVACOMСтандартизирането към добрите практики на ITIL: приоритет за VIVACOM

Разговор с Росен Тончев, новият директор на дирекция „Информационни технологии“ на телекомуникационния оператор.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас