GDPR – Регламент Защита на лични данни

GDPR

GDPR: НОВ РЕГЛАМЕНТ за всички администратори на лични данни!

През май 2018 г. влиза в сила нов регламент на ЕС за защита на информацията

От 25 май 2018 в сила влиза регламент (ЕС) 2016/679, който налага нови правила и изисквания при обработката на лични данни. Новите правила засягат както обработката на лични данни, така и клиентски данни. Регламента предвижда разработването и спазването на различни процедури и политики за информационна сигурност и защита на личните данни на физическите лица.

Как ще се отрази GDPR върху бизнеса ви?

Ако съхранявате лични данни за клиентите и партньорите си, трябва да се съобразите с изискванията на регламента. Колкото по-рано сте готови – толкова по-добре за вас. GDPR влиза в сила на 25 май 2018 г. и трябва да започнете с подготовката отсега. Ускорете подготовката си за съответствие с GDPR.

Спазването на новия регламент може да отнеме значително време.
Интеграцията зависи от размера на вашата организация, вида и сложността на използваните системи. Процедурата може да отнеме месеци и да изисква значителни средства за закупуване на необходимия софтуер и оборудване.

1
Прозрачност - фирмите и организациите трябва да са въвели политики за:
  • предоставяне на ясно известие относно събирането на данни.
  • описание кога и защо се обработват лични данни.
  • определяне на правилата за съхранение и изтриване на данни.
2
Контрол и уведомления - фирмите и организациите трябва:
  • да осигурят мерски за защита на личните данни.
  • да получават съгласие за събирането и обработката на лични данни.
  • да водят подробна документация за дейностите по обработка и защита на данните.
  • да уведомяват органите за нарушения на сигурността на личните данни.
3
Поверителност - физическите лицата имат право:
  • да достъпват и да експортират личните си данни.
  • да коригират грешки в личните си данни.
  • да възразяват срещу обработката на личните си данни.
  • да изтриват личните си данни.
4
IT и обучение - фирмите и организациите ще трябва:
  • да обучават служителите си за най-добрите практики за поверителност и информационна сигурност.
  • да проверяват и актуализират политиките относно обработката на лични данните.
  • да назначат длъжностно лице по защита на данните, ако е необходимо.
  • да съставят и управляват договори за съответствие с доставчиците си.

GDPR въвежда нови изисквания за работа с лични данни на клиентите Ви

Ако съхранявате каквито и да е данни за клиентите и партньорите си, трябва да се съобразите с изискванията на GDPR. Колкото по-рано сте готови – толкова по-добре за вас. Международна асоциация по киберсигурност може да Ви помогне да разберете GDPR и изискванията на регламента, както и да предложи решение за покриването им. General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация, която съхранява лични данни,  на граждани на ЕС.

Как ще се отрази GDPR върху бизнеса ви?

GDPR – общият регламент относно защитата на данните е новият закон за защита на данните на Европейския съюз. Регламентът е предназначен да предоставя на физическите лицата по-голям контрол върху личните им данни.  GDPR налага нови задължения на организациите, които събират обработват или анализират такива данни – включително организации извън ЕС.

Изискванията към бизнеса са ясни и засягат всяка фирма, която обработва данни на физически лица над 5000 души за цялата история на съществуването си. Очаква се на по-късен етап тази „граница’ да бъде намалена до 1000 човека, а след това изискванията да важат за всички фирми.

Международна асоциация по киберсигурност може да Ви помогне да разберете GDPR и изискванията на регламента, както и да предложи решение за покриването им. General Data Protection Regulation (общ регламент относно защитата на данните) ще засегне всяка една организация в ЕС, която съхранява лични данни в рамките на ЕС. GDPR налага комплексни изисквания, а неспазването им води до високи глоби (до 4% от глобалния оборот на организацията или до 20 млн. евро).

  • Специалисти на Международна асоциация по киберсигурност могат да осъществят първоначалния анализ на съответствията (GAP анализ) – тоест доколко внедрените при вас технологични и организационни мерки покриват изискванията на GDRP.
  • Можем да ви посъветваме кои технологии ще намалят идентифицирания риск, без да се обвързвате със закупувате на конкретни решения.
  • Асоциацията може да предложи сертифициран одит на информационната сигурност по стандарт ISO 27001.
  •  Можем да ви предложим обучение по информационна сигурност на вашите IT специалисти и служители.  Вижте повече тук

Съгласуване с GDPR

GDPR е в сила от 25 май 2018 г. и трябва да започнете с подготовката отсега. Ускорете съответствието си с GDPR, като следвате стъпките по-долу. Намерете отговорите на някои от най-важните въпроси относно GDPR и какво може да означава регламентът за вас.
Всяка организация, която работи с данни на физически лица, трябва да изработи свой план за „съответствие“ с 3 аспекта:

  1. Етап първи – анализ и оценка, която включва инвентаризация на данните, като администраторът на данни трябва да изисква само онези данни, които имат отношение към предоставяните услуги. Ако за нуждите на маркетинг отдела са нужни по-подробни профили на клиентите, то за получаването на тези данни трябва да се изисква изричното съгласие на потребителя.
  2. Етап втори – извършва се анализ на риска за притежаваната информация.
  3. Третият етап се отнаса до намаляване на въпросния риск чрез въвеждане на технологични и организационни мерки.

Често задавани въпроси

Общият регламент относно защитата на данните (GDPR) е новият закон за защита на данните на Европейския съюз. Той заменя Директивата за защита на данните, която е в сила от 1995 г. Сред основните промени е тази, че GDPR предоставя на физическите лицата повече контрол над личните им данни и налага много нови задължения на организациите, които събират и обработват. Също така GDPR предоставя на националните регулатори нови правомощия да налагат значителни глоби и имуществени санкции на организациите, които нарушават закона.

GDPR налага редица изисквания на организациите, които събират или обработват лични данни, като е заложено спазването на шест основни принципа:

  • прозрачност, добросъвестност и законосъобразност при обработването и използването на лични данни;
  • събиране и съхранение само на минималното количество лични данни, необходими за дадена цел;
  • ограничаване на обработката на лични данни до конкретни, изрично указани и легитимни цели;
  • гарантиране на точността на данните, включително възможността за тяхното изтриване и редактиране;
  • ограничаване на съхранението на лични данни;
  • гарантиране на сигурността, целостта и поверителността на личните данни.

GDPR важи за всички организации, без значение на размера и дейността на организацията. По-конкретно GDPR важи за:

  • обработката на личните данни на което и да е  физическолице, ако тя се извършва в контекста на дейностите на организация, установена в ЕС (независимо къде се извършва обработката);
  • обработката на лични данни на лица с местопребиваване в ЕС от организация, установена извън ЕС, когато тази обработка е свързана с предлагане на стоки или услуги на тези лица или с наблюдение на поведението им.

GDPR регламентира събирането, съхранението, използването и споделянето на „лични данни“. Понятието „лични данни“ е определено много широко в GDPR като всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано. Това може да включва информация, като IP адреси, бази данни за продажби, данни за обслужване на клиенти, формуляри за обратна връзка и други.

Максималната глоба за сериозни нарушения ще бъде над 20 милиона евро или четири процента от глобалния годишен приход на организацията, което от двете е по-голямо. Също така GDPR предоставя правомощия на потребителите (и организациите, действащи от тяхно име) да подават граждански искове срещу организации, които нарушават GDPR.

GDPR: РЕГЛАМЕНТ за администратори на лични данни!
Курс - Киберсигурност за малкия бизнес

Международна асоциация по киберсигурност предлага обучение „Киберсигурност за малкия бизнес. Курсът е предназначен за собственици и служители на малък бизнес, които искат да повишат нивото на информационна сигурност на бизнеса си. Курса е за тези, които искат да получат нужните технически умения, съгласно Европйеския регламент 2016/679 за защита на лични данни.