GDPR on May 2018 – data protection and regulation

GDPR on May 2018 – data protection and regulation

Posted by ethical-hacker | Tuesday July 4th, 2017 | GDPR, News
Регламент (ЕС) 2016/679

Европа въвежда правила за киберсигурност, които ще важат за всички фирми с повече от 40 служители от догодина. Така всяка фирма ще трябва да премине през тест за сигурност и след като получат препоръки да подобри системите си за сигурност, така че да има сигурна защита.

Общият регламент въвежда множество значителни промени спрямо действащата правна рамка и поставя завишени изисквания към субектите в системата за защита на личните данни, което е причина за неговото отложено прилагане, считано от 25 май 2018 г.

Редица задължения поставя новата регулация за всички администратори на лични данни. Такива са изискванията за защита на данните още при проектирането (privacy by design) и по подразбиране (privacy by default). Според първото рискът за поверителност трябва да се вземе предвид още в процеса на проектиране на нов продукт или услуга, като се предприемат подходящите за съответствие с Регламента технически и организационни мерки и процедури (например псевдонимизация). Второто изисква обработване по подразбиране само на данни, които са необходими за всяка конкретна цел, т.е. данните не се събират или запазват в обем или за срок на съхранение, по-голям от минимално необходимите за тези цели.
Всички компании, обработващи данни, ще са длъжни да представят значителен обем информация на лицата, чиито данни събират, още към момента на получаването им и при намерение за допълнително обработване за различна цел. Ще трябва също да уведомят регулатора (у нас КЗЛД) в случай на нарушение на сигурността на личните данни не по-късно от 72 часа след установяването му, както и да извършват оценка на въздействието върху защитата при вероятност за висок риск.

Много по-строга отговорност се предвижда за определени групи администратори. Такива са компании, чиято основна дейност е обработване на данни и които профилират лица в големи мащаби (Facebook), или които обработват в големи мащаби чувствителни данни (такова би могло да бъде застрахователно дружество, събиращо данни за здравето на застрахованите лица). Те ще трябва да назначат лице, отговарящо за защита на данните с опит в това законодателство и практика, което може да бъде служител на дружеството или външно наето.

Санкции

Регламентът предвижда значително по-високи санкции в сравнение с прилаганите в момента по местните законодателства в ЕС. При нарушения на нашия Закон за защита на личните данни глобите са в размер до 100 хил. лв.

Максималните санкции по Регламента достигат до 20 млн. евро, или 4% от годишния световен оборот на предприятието за предходната финансова година, като се прилага сумата, която е по-висока. КЗЛД ще е компетентна да ги наложи, ако например администраторът не е спазил условията за съгласие (когато обработването е въз основа на такова) или е нарушил право на лице по Регламента (като “правото да бъде забравен”, т.е. данните му да бъдат изтрити). Новост е, че пряко отговорни, а съответно и застрашени от санкции ще са и обработващите данни – такива са например доставчиците на облачни услуги.

Регламентът е пряко приложим в държавите – членки на ЕС, и ще замести и уеднакви действащите в момента закони във всяка от тях – при нас това е Законът за защита на личните данни.

Вижте повече: https://ethical-hacker.org/bg/gdpr-регламент-ес-2016-679-защита-на-лични-данни/

Related Blogs

GDPR, информационна сигурност
Posted by ethical-hacker | 02 April 2018
По-малко от два месеца остават до навлизането на регламента за защита на личните данни. Фирмите вече са в трескава подготовка, за да удовлетворят изискванията на новия закон. Промените засягат всички...
INTERNATIONAL CYBERSECURITY ASSOCIATION , международна асоциация по киберсигурност
Posted by ethical-hacker | 29 June 2017
Just 5 months ago we inform one of the leading accounting software company in Bulgaria (warehouse software, gas station software, etc.), about a critical vulnerability in the administration software they...
Posted by ethical-hacker | 21 June 2017
Ethical Hacking Website – Exam – Ethical Hacking – Website 25 03 2017.