“Страшният” регламент за личните данни GDPR
Санкция от 20 млн. евро или 4% от оборота грози фирмите в Европейския съюз, в случай че не съблюдават новия правилник за отбрана на персоналните данни.
Регламентът влиза в действие от 25 май 2018 година и изисква във всяка държавна институция или компания, която е имала достъп до данните на 1000 души да има подготвен чиновник по запазване на персоналната информация.
Реформата е извънредно сериозна, тъй като визира персоналната информация на близо 500 милиона души – популацията на Европейски Съюз.
Какво са персонални данни съгласно GDPR ?
- Трите имена
- ЕГН
- Адрес
- Имейл
- IP адрес, както и cookies – следите от активността в интернет
- Медицинска информация
- Банкови данни
- Геолокация
- Всички данни, които могат да разкрият персонална информация или да разпознават човек посредством: религиозна принадлежност, физически особености, генезис, родственици, участие в партия или организация, месторабота
Кого засягат?
- За фирмите GDPR значи напълно нов метод към персоналните данни, които събират и съхраняват. Регулацията визира всяко сдружение, което в миналото се е докосвало до данни на над 5000 души, само че скоро този брой ще падне до 1000 души. Това значи, че регулацията визира съвсем всяка компания в България, защото се взимат поради и персоналните данни на някогашните и актуалните чиновници.
Регламентът ще обхване без отсрочване 80% от българските компании, само че също по този начин лечебни заведения образованието детските градини, туристическия бизнес и целия стопански живот. Институции като опазване на здравето и обучение няма потребност от предел за персоналните данни те са длъжни да защитят и най-малък брой, тъй като информацията е сензитивна.
„ Това не е следващата инструкция вид крива краставица. Тя е значима, тъй като към този момент физическият адрес на компютъра Ви е доста по- значим и дава доста повече информация за вас в сравнение с домашния ви адрес ”, коментира Палейкова и напомня по какъв начин платформата Yahoo мълча две години за пробив в базата им данни, при които изтекоха и- мейли и пароли на милиони консуматори, които след това се търгуваха за кибер закононарушения.
Регламентът уеднаквява режима на запазване на персоналните данни и няма да докара до огромни промени в България, тъй като сме приложили европейската инструкция от 1995 година за отбрана на персоналните данни в цялостен размер за разлика от Германия или Белгия да вземем за пример.
Администраторите няма да подлежат на предварителна инспекция по документи и която изисква регистрация. Но самите те би трябвало да поддържат базите данни, тъй че да са отчетни към комисията и транспарантни към лицата, които данни съхраняват.
Фирмите имат период от 72 часа да рапортуват пред Комисията за отбрана на персоналните данни и засегнатите жители за приключване или кражба на персонални данни. Ако укрият тази информация и по-късно случаят бъде оголен, санкцията е 2% от оборота, коментира специалистът по киберсигурност от цифрово читалище SAFER Ваня Палейкова.
Може ли регламентът да бъде заобиколен?
Има няколко метода една компания да бъде разкрита, че не съблюдава GDPR:
- След инспекция от български и най-много задграничен надзорен орган
- След тъжба на клиент
- След сигнал от съперник
- При пробив в сигурността и приключване на данни
Какви ограничения би трябвало да предприеме бизнесът?
- GAP разбор (предварителна оценка) за положението и отбраната на персоналните данни, които съхраняват и обработват;
- Организационни стъпки : обзор къде се съхраняват данните, какъв брой са, какви са, би трябвало да се назначи отговорник по сигурността на данните, би трябвало да се подсигурява, че, в случай че клиент желае да бъде „ пропуснат “, компанията ще заличи неговите данни. Трябва да има проект за деяние при случай извън или отвътре;
- Технически стъпки : Пълна отбрана и отчетност на достъпа до данните: криптиране, маскиране и анонимизация на данните;
- Трябва да бъде назначен страж на данните – вътрешен специалист или външна компания, която да се грижи за данните;
- Трябва да има проект за деяние при случай , както и написани правила за работа с персонални данни – къде се съхраняват, кой ги пази, кой работи в тях, по какъв начин се обменят с трети страни;
Регламентът отваря огромна ниша и в бизнеса за кибер-сигурност, който предлага образование за бизнеса. Рая Крумова е притежател на туристическа организация и не е сюрпризирана. В бизнеса с туристически услуги, продажба на екскурзии и самолетни билети от дълго време има доста равнища на отбрана в системите за самолетни резервации, които кодират данните на пасажерите, с цел да не може клиентът да бъде профилиран.
„ В нашия отрасъл тази подготовка от дълго време е направена още през цялото време със пускане на условие за персоналните данни. Те се съхраняват задоволително добре. Всяка една от резервационните системи има спомагателни документи, които се конфигурират на всеки един от компютрите. Второто равнище предпазени са с пароли, които се подменят на всеки 2 до 6 месеца. Тази ключова дума е лична за всеки един, който влиза в тази система, самичък го задава и самичък го трансформира. Няма достъп непознат до твоя личен номер и оттук насетне се следи кой по кое време влиза и какво прави. Въпреки че всеки един хакер, в случай че е решил да влезе в компютър не считам, че пароли или каквото и да е ще са някакво затруднение за него в случай че е решил да го направи”, разяснява Крумова.
Какво е положението на българският регулаторен орган?
В България за регулацията дава отговор Комисията за отбрана на персоналните данни. Тя ще е част от общ непрекъснато настоящ орган за надзор на европейско равнище. Например - аутсорсинг компания от IT бранша в България е хакната и са изтекли данни на немски жители. Тогава следствието на случая и наказването за българската компания ще се случват в Германия и не може да се разчита на локално състрадание. При киберинцидент всяка компания се смята отговорна до доказване на противното.
„ В момента у нас има 370 хиляди админи, които работят с персонални данни. Две-трети от тях са тествани по документи единствено една трета с сензитивна информация са проверявани на място. Сега в границите на година комисията ще би трябвало да прави по 4-5 хиляди инспекции на място защото ние до този миг извършаваме 2 -3 хиляди. Тези инспекции ще ангажират доста финанси, тъй като комисията не разполага с локални клонове”, изясни ръководителят на комисията за отбрана на персоналните данни Венцислав Караджов.
Комисията е предложила създаване на обучителен център за 45 хиляди души, които да приготви гратис, само че страната не е отделила средства за построяването му.
„ Предоставена ни е постройка за обучителен център, само че тя не е употребена в последните 25 години”, добави той.
Преоборудването и ремонта ще коства 1,5 млн. лева Нужни са спомагателни средства за софтуерна обучителна платформа, тъй като част от експертите ще би трябвало да бъдат подготвени и дистанционно”, посочи Караджов. По думите му материалите за образование на комисията са подготвени и въвеждането на платформата за онлайн образование ще коства 350 хиляди лв..
Регламентът влиза в действие от 25 май 2018 година и изисква във всяка държавна институция или компания, която е имала достъп до данните на 1000 души да има подготвен чиновник по запазване на персоналната информация.
Реформата е извънредно сериозна, тъй като визира персоналната информация на близо 500 милиона души – популацията на Европейски Съюз.
Какво са персонални данни съгласно GDPR ?
- Трите имена
- ЕГН
- Адрес
- Имейл
- IP адрес, както и cookies – следите от активността в интернет
- Медицинска информация
- Банкови данни
- Геолокация
- Всички данни, които могат да разкрият персонална информация или да разпознават човек посредством: религиозна принадлежност, физически особености, генезис, родственици, участие в партия или организация, месторабота
Кого засягат?
- За фирмите GDPR значи напълно нов метод към персоналните данни, които събират и съхраняват. Регулацията визира всяко сдружение, което в миналото се е докосвало до данни на над 5000 души, само че скоро този брой ще падне до 1000 души. Това значи, че регулацията визира съвсем всяка компания в България, защото се взимат поради и персоналните данни на някогашните и актуалните чиновници.
Регламентът ще обхване без отсрочване 80% от българските компании, само че също по този начин лечебни заведения образованието детските градини, туристическия бизнес и целия стопански живот. Институции като опазване на здравето и обучение няма потребност от предел за персоналните данни те са длъжни да защитят и най-малък брой, тъй като информацията е сензитивна.
„ Това не е следващата инструкция вид крива краставица. Тя е значима, тъй като към този момент физическият адрес на компютъра Ви е доста по- значим и дава доста повече информация за вас в сравнение с домашния ви адрес ”, коментира Палейкова и напомня по какъв начин платформата Yahoo мълча две години за пробив в базата им данни, при които изтекоха и- мейли и пароли на милиони консуматори, които след това се търгуваха за кибер закононарушения.
Регламентът уеднаквява режима на запазване на персоналните данни и няма да докара до огромни промени в България, тъй като сме приложили европейската инструкция от 1995 година за отбрана на персоналните данни в цялостен размер за разлика от Германия или Белгия да вземем за пример.
Администраторите няма да подлежат на предварителна инспекция по документи и която изисква регистрация. Но самите те би трябвало да поддържат базите данни, тъй че да са отчетни към комисията и транспарантни към лицата, които данни съхраняват.
Фирмите имат период от 72 часа да рапортуват пред Комисията за отбрана на персоналните данни и засегнатите жители за приключване или кражба на персонални данни. Ако укрият тази информация и по-късно случаят бъде оголен, санкцията е 2% от оборота, коментира специалистът по киберсигурност от цифрово читалище SAFER Ваня Палейкова.
Може ли регламентът да бъде заобиколен?
Има няколко метода една компания да бъде разкрита, че не съблюдава GDPR:
- След инспекция от български и най-много задграничен надзорен орган
- След тъжба на клиент
- След сигнал от съперник
- При пробив в сигурността и приключване на данни
Какви ограничения би трябвало да предприеме бизнесът?
- GAP разбор (предварителна оценка) за положението и отбраната на персоналните данни, които съхраняват и обработват;
- Организационни стъпки : обзор къде се съхраняват данните, какъв брой са, какви са, би трябвало да се назначи отговорник по сигурността на данните, би трябвало да се подсигурява, че, в случай че клиент желае да бъде „ пропуснат “, компанията ще заличи неговите данни. Трябва да има проект за деяние при случай извън или отвътре;
- Технически стъпки : Пълна отбрана и отчетност на достъпа до данните: криптиране, маскиране и анонимизация на данните;
- Трябва да бъде назначен страж на данните – вътрешен специалист или външна компания, която да се грижи за данните;
- Трябва да има проект за деяние при случай , както и написани правила за работа с персонални данни – къде се съхраняват, кой ги пази, кой работи в тях, по какъв начин се обменят с трети страни;
Регламентът отваря огромна ниша и в бизнеса за кибер-сигурност, който предлага образование за бизнеса. Рая Крумова е притежател на туристическа организация и не е сюрпризирана. В бизнеса с туристически услуги, продажба на екскурзии и самолетни билети от дълго време има доста равнища на отбрана в системите за самолетни резервации, които кодират данните на пасажерите, с цел да не може клиентът да бъде профилиран.
„ В нашия отрасъл тази подготовка от дълго време е направена още през цялото време със пускане на условие за персоналните данни. Те се съхраняват задоволително добре. Всяка една от резервационните системи има спомагателни документи, които се конфигурират на всеки един от компютрите. Второто равнище предпазени са с пароли, които се подменят на всеки 2 до 6 месеца. Тази ключова дума е лична за всеки един, който влиза в тази система, самичък го задава и самичък го трансформира. Няма достъп непознат до твоя личен номер и оттук насетне се следи кой по кое време влиза и какво прави. Въпреки че всеки един хакер, в случай че е решил да влезе в компютър не считам, че пароли или каквото и да е ще са някакво затруднение за него в случай че е решил да го направи”, разяснява Крумова.
Какво е положението на българският регулаторен орган?
В България за регулацията дава отговор Комисията за отбрана на персоналните данни. Тя ще е част от общ непрекъснато настоящ орган за надзор на европейско равнище. Например - аутсорсинг компания от IT бранша в България е хакната и са изтекли данни на немски жители. Тогава следствието на случая и наказването за българската компания ще се случват в Германия и не може да се разчита на локално състрадание. При киберинцидент всяка компания се смята отговорна до доказване на противното.
„ В момента у нас има 370 хиляди админи, които работят с персонални данни. Две-трети от тях са тествани по документи единствено една трета с сензитивна информация са проверявани на място. Сега в границите на година комисията ще би трябвало да прави по 4-5 хиляди инспекции на място защото ние до този миг извършаваме 2 -3 хиляди. Тези инспекции ще ангажират доста финанси, тъй като комисията не разполага с локални клонове”, изясни ръководителят на комисията за отбрана на персоналните данни Венцислав Караджов.
Комисията е предложила създаване на обучителен център за 45 хиляди души, които да приготви гратис, само че страната не е отделила средства за построяването му.
„ Предоставена ни е постройка за обучителен център, само че тя не е употребена в последните 25 години”, добави той.
Преоборудването и ремонта ще коства 1,5 млн. лева Нужни са спомагателни средства за софтуерна обучителна платформа, тъй като част от експертите ще би трябвало да бъдат подготвени и дистанционно”, посочи Караджов. По думите му материалите за образование на комисията са подготвени и въвеждането на платформата за онлайн образование ще коства 350 хиляди лв..
Източник: btvnovinite.bg
КОМЕНТАРИ