ОМЕГАСОФТ БЛОГ

GDPR/Личните данни и информационната сигурност


20 ноември 2017 г. 

Safety-GDPR

Една от най-актуалните в момента теми е новият Общ регламент за защита на личните данни (Регламент (ЕС) 2016/679) (GDPR). Целта на GDPR е да засили защитата на личната информация на физическите лица в Европейския съюз и да въведе единна регулаторна рамка на територията на съюза. Регламентът влиза в сила от 25 май 2018 г.

Действащата в момента в България правна рамка са Законът за защита на личните данни, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, Правилник за дейността на Комисията по защита на личните данни и нейната администрация и други документи.

Добрата новина е, че настоящата нормативна уредба у нас е изключително съвременна, ясна и категорична, което ще спомогне адаптирането към стандарта да премине плавно, без да предизвика шок.

В следващите редове отново ще подчертаем важността на информационната сигурност и отговорността при обработката на лични данни.

Какво означава „лични данни“?

Лични данни е всяка информация за физическо лице, чрез която то може да бъде идентифицирано.

Лични данни са например имена, ЕГН, данни за местонахождение и редица други. Съществуват и така наречените „чувствителни“ лични данни, като например расов и етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации. В GDPR като чувствителни лични данни са дефинирани и генетичните и биометрични данни, данните за здравословното състояние и сексуална ориентация и т.н.

Какви са рисковете при неправилно обработване на личните данни?

Рядко в ежедневието се замисляме за рисковете, на които са изложени личните данни на физическите лица при тяхната обработка. Особено в браншовете, в които работата с лични данни е част от рутината, съществува реалната опасност да се извърши съвсем непреднамерено действие, което обаче да подложи на риск физическите лица. А подлагането на риск води и до сериозни глоби.

Ето някои от реалните заплахи, които крие невниманието при работа с лични данни:

    • Кражба на самоличност
    • Финансови загуби
    • Разкриване на професионални тайни
    • Загуба на достъп до личните данни
    • Поставяне в положение на зависимост
    • Дискриминация

Какви са санкциите?

    • До 200 000 лв. за нарушения на ЗЗЛД
    • До 20 000 000 евро за нарушения на Регламента/ 4% от общия световен оборот на предприятието

Какви пропуски наблюдаваме при нашите клиенти при работата им с лични данни?

    • Предоставят свободен и неконтролиран достъп до тях – Често липсва диференцирано ниво на достъп до информацията. Всички служители имат достъп до всичките налични данни, без това пряко да засяга работата им.
    • Изпращат лични данни по електронна поща – Често срещана и категорично недопустима практика!

Какво правим ние, за да спазваме ЗЗЛД, за да защитаваме личните данни на своите клиенти, които се налага да обработваме и за да гарантираме тяхната сигурност?

    • Заложихме филтри на електронната си поща, които разпознават и автоматично унищожават имейли, съдържащи лични данни.
    • Техниката, която използваме за обработване на лични данни, е криптирана и гарантира най-високо ниво на сигурност.
    • Спазваме строги и надеждни процедури за съхранение на лични данни по време на обработката им и за унищожаването им след приключване на работа с тях.
    • Сертифицирахме се по ISO 27001:2013, с което гарантирахме категорична надеждност на мерките ни по информационна сигурност.

Какво препоръчваме?

    • Бъдете отговорни към сигурността на личните данни.
    • Запознайте се с правната рамка и се придържайте към нея.
    • Запомнете, че „лични данни“ и „имейл“ са две категорично несъвместими понятия.
    • Определете и контролирайте нивото на достъп до информацията. За тази цел можете безусловно да се доверите на модул ИТ Одит.

Нека заедно защитим неприкосновеността на личността!

Автор: Нетка Коева