Какви са новите задължителни изисквания за защита на информацията?

1. Осъзнаване на ангажиментите Ви в зависимост от ролята си на администратор или обработващ лични данни.

2. Прецизиране договорни отношения по повод (или свързани по всякакъв начин) лични данни.

3. Съгласие от субекта на данните за обработването им.

4. Профилиране на Вашите клиенти.

5. Правото да бъдеш „забравен“ и преносимостта на данни.

6. Задължения за уведомяване за нарушаване на сигурността и за компрометиране на данните.

7. Осигуряване на служител по защита на данните /DPO/

8. Трансгранични трансфери на данни – прехвърляне на лични данни на трета страна при спазване на определени условия и прилагане на подходящи предпазни мерки:

a) Псевдонимизация на личните данни.
b) Криптиране където е възможно.
c) Минимизация на достъпа до лични данни
d) Непрекъснат мониторинг и следене за пробиви.

9. Изработване и прилагане на „Кодекси за поведение“ за съответствие с GDPR.

10. Последствия за нарушенията на GDPR:

a) административни процедури и
b) съответни глоби.

Член 32 Сигурност на обработването:

Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a) псевдонимизация и криптиране на личните данни;
b) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
c) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
d) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Криптирането е най-лесният и сигурен начин да се гарантира сигурността на информацията според изискванията на Член 32 на GDPR. Тази технология е доказано ефективна за защита на информация, която може да бъде открадната или компроментирана. В GDPR се споменава и изискването за ясен план за възстановяване при бедствия, възстановяване на пароли и системи за управление на ключове.

Какво е нарушение на сигурността?

GDPR предефинира нарушението на сигурността на лични данни:
“нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни ”.

Член 30 на Регламента въвежда изискването за съхраняване на записи, включително и на общо описание на предприетите технически и организационни мерки за сигурност според изискванията на Член 32 – което означава, че организациите ще трябва да съхраняват записи с цел доказване на предприетите мерки за сигурност на системите си.