Въведение в промените и изискванията

Новият Общ регламент относно защитата на данните (GDPR) заменя Директивата за защита на лични 65/46/ЕС данни на ЕС от 1995 г.

GDPR е разработена с цел да засили и унифицира правата за защита на личната информация на физическите лица в ЕС, като въвежда единни регулации за бизнеса – вместо наличните в момента 28 различни национални закона.

На 8 април 2016 г. Съветът на Европа прие GDPR и свързаната с нея директива. На 14 април 2016 г. регулацията беше одобрена от Европейския парламент.

На 4 май 2016 г. официалните текстове на новата регулация са публикувани в Официалния вестник на ЕС.

Регламентът GDPR влиза в сила на 25 май 2018 г.

Всички 28 страни-членки са имплементирали въведените през 1995 г. правила по различен начин – което затруднява международните бизнеси в работата им в рамките на ЕС – и въвежда значителни разлики в размера и начина на налагане на наказания. Според официалната статистика елиминирането на тази фрагментация ще доведе до 2.3 млрд. евро годишно спестени разходи за бизнеса в рамките на ЕС.

Какви са промените?

Основните нововъведения в Регламента GDPR включват:

1. Правото на физическите лица да знаят дали личната им информация е компрометирана: Организациите трябва да уведомяват националните регулатори за всеки пробив, довел до източване на потребителски данни, които излагат физическите лица на риск – и да комуникират към субектите на данни всички пробиви, които ги излагат на риск, за да могат потребителите да вземат адекватни мерки.

2. По-сурово налагане на регулации: регулаторите ще могат да налагат глоби в размер на до 4% от годишния глобален оборот на организации или глоба до 20 000 000.00 EUR, които не спазват изискванията на GDPR. Административните глоби не са задължителни – като за тях се взима решение във всеки отделен случай – и трябва да бъдат ефективни, пропорционални и възпиращи.

3. Един континент, един закон: единен, общ за цяла Европа закон за защита на личните данни, който ще замени сегашната мрежа от множество локални регулации. Бизнесът ще трябва да се съобразява с един закон, а не са 28 – което ще спести до 2.3 млрд. годишни правни и други разходи.

4. Уведомяването за пробив в сигурността на националния регулатор (за България това е Комисията за защита на личните данни) трябва да става веднага или не по-късно от 72 часа след откриването на пробива.

5. Изискванията на ЕС трябва да се спазват, в случай, че потребителски лични данни се обработват извън пределите на Съюза – но компаниите са активни в една или повече страни-членки и продуктите и услугите им (дори и да са безплатни) се предлагат на граждани на ЕС. Изискването важи дори и за случаите, в които организации следят поведение на жители на ЕС.

6. Защита на данните в основата. Мерките за защита на информацията трябва да бъдат взети още при създаването на продукт или услуга – от най-ранните етапи на разработката им.

7. Въвеждането на по-сурови правила за защита на личните данни: ЕС ще задължи всеки бизнес да защитава адекватно личните данни на потребителите.

Понятието Лични дании

“Всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице.”

Това широко определение за лични данни лесно може да бъде отнесено дори и към прости записи, които се отнасят, дори и индиректно, към клиенти, служители или други физически лица.

Какви са новите задължителни изисквания за защита на информацията?

  1. Осъзнаване на ангажиментите Ви в зависимост от ролята си на администратор или обработващ лични данни.
  2. Прецизиране договорни отношения по повод (или свързани по всякакъв начин) лични данни.
  3. Съгласие от субекта на данните за обработването им.
  4. Профилиране на Вашите клиенти.
  5. Правото да бъдеш „забравен“ и преносимостта на данни.
  6. Задължения за уведомяване за нарушаване на сигурността и за компрометиране на данните.
  7. Осигуряване на служител по защита на данните /DPO/
  8. Трансгранични трансфери на данни – прехвърляне на лични данни на трета страна при спазване на определени условия и прилагане на подходящи предпазни мерки:
    a) Псевдонимизация на личните данни.
    b) Криптиране където е възможно.
    c) Минимизация на достъпа до лични данни
    d) Непрекъснат мониторинг и следене за пробиви.
  9. Изработване и прилагане на „Кодекси за поведение“ за съответствие с GDPR.
  10. Последствия за нарушенията на GDPR:
    a) административни процедури и
    b) съответни глоби.
Член 32 Сигурност на обработването:

Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a) псевдонимизация и криптиране на личните данни;
b) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
c) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
d) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Криптирането е най-лесният и сигурен начин да се гарантира сигурността на информацията според изискванията на Член 32 на GDPR. Тази технология е доказано ефективна за защита на информация, която може да бъде открадната или компроментирана. В GDPR се споменава и изискването за ясен план за възстановяване при бедствия, възстановяване на пароли и системи за управление на ключове.

Какво е нарушение на сигурността?

GDPR предефинира нарушението на сигурността на лични данни:
“нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни”.

Член 30 на Регламента въвежда изискването за съхраняване на записи, включително и на общо описание на предприетите технически и организационни мерки за сигурност според изискванията на Член 32 – което означава, че организациите ще трябва да съхраняват записи с цел доказване на предприетите мерки за сигурност на системите си.

Какви са правилата за уведомяване при пробив със защитата?

Член 33 въвежда изискването за уведомяване на регулатора в случай на пробив в защитата на информацията в случай на пробив в системата. Уведомяването трябва да стане не по-късно от 72 часа след установяването на пробива.

Член 34 реферира към комуникирането на пробиви в системите за съхранение на информация към субектите на данни по следния начин:

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

Как може да се защитите?

Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

b) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

c) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Редица проучвания показват, че колкото по-рано се съобщи за нарушение в сигурността на личните данни, толкова по-големи са последиците за организацията, станала жертва на пробива.

Какви са наказанията за неспазилите изискванията?

Член 83, Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, параграф 4:

Параграф 4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a) задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43; По този начин се покриват членовете, касаещи нарушенията на сигурността – Член 33 и член 34 и параграф 5 от Член 83, които гласят още:

Параграф 5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a) основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

Където Член 5, Принципи, свързани с обработването на лични данни гласи:

1. Личните данни са:

f) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

Това ясно намерение за наказване и намаляване на нарушенията ще влезе в сила от 25 май 2018 г.

Вземете мерки срещу него сега!

В някои държави вече тече подготовка за регламента. Холандският Сенат прие закона през май 2015 г., за да промени местното законодателство за защита на личните данни – и да го пригоди към изискванията на GDPR. Така от държавата-членка на ЕС с един от най-слабите правоприлагателни режими в тази сфера, Холандия се превърна в страната-членка с най-суровия режим. Тази регулация ще бъде наложена на всички 28 стрaни-членки от май 2018 г.

Какви мерки да предприемете?

Регламентът изисква организациите от всякакъв мащаб да приемат нови процеси и политики, целящи да предоставят на крайния потребител по-високо ниво на контрол върху личните му данни. Голяма част от тях са свързани със списването на нови процедури и указания, допълнителни обучения на служителите и ъпдейт на системите за обработка на информацията с цел налагането на новите мерки. Може да предприемете и по-практични мерки, като криптирате информацията, изложена на риск.

Един от основните принципи на Регламента, както гласи Член 5, е гарантирането на достатъчно ниво на сигурност на личните данни.

Член 32, Сигурност на обработването, криптирането е подходящо средство за постигането на този резултат. В случаите, в които криптирането е използвано като техническо средство, трябва да бъде възможно бързото възстановяване в случай на инцидент – и трябва да бъдат съхранявани записи, които доказват, че системите са и защитени, и възстановими.

Виж Осигуряване на съответствие с изисванията на GDPR

 

Контроли (мерки) за управление и защита на личните данни
Основни направления

Oсновни аспекти на мерките за защита на личните данни

Вид контроли Изисквания Резултат/Последствия
Организационни контроли (мерки) за защита на личните данни
  • Организационни изисквания
  • Процеси и документи за управление
  • Осведоменост на служителите по аспектите на сигурността
  • Анализ и оценка на риска за личните данни
  • Политики и правила
  • Международен обмен
  • Сигурност на данните
  • Оценка на зависимост
  • Служител по сигурността на дааните (DPO)
Технологини контроли (мерки) за защита на личните данни
  • Отчетност на процесите по сигурността – технически аспекти
  • Идентификация на нарушенията (пробивите) на сигурността – технически аспекти
  • Идентификация на нарушенията (пробивите) на сигурността – технически аспекти
  • Технически гаранции за сигурност на Субектите
  • Непрекъсната поверителна комуникация на информацията , съдържаща лични данни
  • Непрекъсната сигурност на информацията (конфиденциалност, цялостност, достъпност, интегритет)
  • Родителско съгласие
  • Оттегляне на съгласие
  • Право да бъде забравен
  • Преносимос на даанните
Съхранение на данни Правни регулации, документация, одит на сигурността Минимизиране на рисковете

 

Виж Осигуряване на съответствие с изисванията на GDPR

 

Направете така, че да избегнете санкциите!

20 000 000.00 EUR или 4% от годишния глобален оборот (което от двете е по-голямо) е максималното предвидено наказание за бизнес, който не се съобразява с GDPR

80% от организациите в ЕС не са подготвени за GDPR!

Не бъдете от тях!

Print Friendly, PDF & EmailПринтирай