Пробив в сигурността на данните – какво да правим
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Пробив в сигурността на данните – какво да правим

Пробив в сигурността на данните – какво да правим

От 25 май 2018 г. администраторите на лични данни ще са длъжни да докладват нарушения в сигурността на данните в срок от 72 часа

12303 прочитания

© Цветелина Белутова


Продължение на текста "Още регулация на личните данни: бреме или възможност" от 27 март

Изтичането на конфиденциална информация безспорно е една от най-чувствителните теми за бизнеса днес. И статистиките потвърждават това. Пробивът в системите на Anthem Inc. (втората по-големина социалноосигурителна компания в САЩ) предизвика изтичането на данни на 78.8 млн. физически лица, а случаят "Досиетата от Панама" (Panama Papers) разкри обвързаности на стотици известни личности с офшорни компании. Жертви на пробиви в сигурността са както водещи компании от технологичния, здравния и ритейл сектора, така и държавни институции и водещи банки. А последствията могат да бъдат значителни – съдебни битки, финансови обезщетения, загуба на репутация, отлив на клиенти, глоби.

Високият риск от неправомерно изтичане на данни е стимул за компаниите да инвестират в подобрения на сигурността. Често пъти обаче данни изтичат в резултат на грешка (публикуване на данни по невнимание) или действия на вътрешен потребител. Новият Общ регламент за защита на личните данни отчете значението на тези въпроси, като въведе изисквания към мерките за сигурност на данните и задължи администраторите да уведомяват надзорния орган и засегнатите лица в случай на пробив.

Мерки за сигурност

Компаниите трябва да предприемат подходящи мерки за защита на личните данни, които зависят от вида и обема на обработваните данни, целите на обработването и евентуалните рискове за физическите лица. Мерките, например псевдонимизация и криптиране на данни, трябва да съответстват на съвременните достижения на техническия прогрес, но и да са съобразени с разходите, необходими за прилагането им. Въвеждането на кодекси за поведение по индустрии и сертифициране към оторизирани институции може да служи като доказателство за спазване на заложените в регламента стандарти за сигурност.

Уведомяване за нарушения в сигурността

Регламентът задължава всички администратори на лични данни да уведомят надзорния орган (в България – КЗЛД) за нарушения в сигурността на данните. Досега такова задължение съществуваше само за телекомуникационния сектор. То се прилага както при пробиви от външен източник (хакерска атака), така и при разкриване на данни в резултат на грешка или действие на вътрешен потребител. Това задължение е значително по-широко от предвиденото в много от щатите в САЩ уведомяване при разкриване на данни, което може да доведе до измама или кражба на идентичност (например финансова информация).

Срок

Администраторът е задължен да уведоми надзорния орган "без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него". В случай че уведомлението е извършено след 72-рия час, трябва да се посочи основателна причина за неспазването на срока. 72-часовият срок тече от момента, в който компанията узнае за пробива в сигурността. Това е логично, тъй като хакерските атаки могат да траят месеци преди компанията да ги засече. Доказването на момента на узнаване също е в тежест на администратора.

Не подлежат на уведомяване случаи, при които няма риск за физическите лица. Към момента няма допълнителни указания какви случаи биха попаднали в тази категория, което поражда несигурност за бизнеса и риск от санкция в случай на неправилно тълкуване.

Дружества, които обработват лични данни от името на друго лице (при предоставяне на счетоводни услуги например), нямат самостоятелно задължение за уведомяване на надзорния орган. Те следва да уведомят възложителя на услугата, който на свой ред е длъжен да уведоми КЗЛД и засегнатите лица.

Уведомление

Уведомлението следва да съдържа информация относно вида на нарушението; категориите и приблизителният брой на засегнатите лица; категориите и приблизителното количество на засегнатите данни; възможните последици от нарушението; предприетите и планирани мерки за намаляване на евентуалните неблагоприятни последици; контакт на лице, което може да предостави повече информация за нарушението или лицето по сигурността на данните в компанията, ако има такова. Тази информация може да бъде предоставяна поетапно, в случай че не е възможно това да се направи едновременно.

Уведомяване на засегнатите лица

Ако има вероятност пробивът в сигурността да породи висок риск за засегнатите физически лица, те трябва да бъдат уведомени лично за нарушението на сигурността. Очакват се допълнителни указания от националните регулатори кои случаи ще попаднат в тази категория. Към момента регламентът освобождава администраторите от задължение да уведомяват физическите лица за пробива, ако са предприели мерки за сигурност, които правят личните данни неразбираеми за лица, които нямат разрешение за достъп (например чрез криптиране), или ако впоследствие се предприемат мерки, които гарантират, че няма да се реализира първоначално идентифицираният риск за засегнатите физически лица.

Компаниите са задължени да документират всяко нарушение на сигурността на личните данни. Тази документация може да служи като доказателство за спазването на задължението за уведомяване.

Нарушенията на сигурността не представляват самостоятелно основание за глоба. Такава обаче може да се наложи, ако при проверката се установи нарушение на законовите изисквания за обработване на данни (например не са предприети адекватни мерки за защита, не е извършена оценка на риска, когато такава е била задължителна, или не е назначено длъжностно лице за защита на данните). Неспазване на задължението за уведомяване също подлежи на санкция до 2% от глобалния оборот на компанията.

Шест стъпки, за да бъдем в крак с новостите

Сегашната редакция на регламента изправя бизнеса пред спазването на едно трудно за изпълнение задължение при много неизяснени въпроси – налице ли е "риск", който налага уведомяване на надзорния орган, и "висок риск", който изисква да се уведомят засегнатите физически лица. Няма яснота и по въпроса кой надзорен орган следва да се уведоми при пробиви в сигурността при мултинационални компании. Тези въпроси ще се изясняват в практиката и чрез издаването на изрични указания от националните регулатори. За бизнеса обаче остават много задачи, които трябва да се решат преди възникването на нарушение на сигурността.

Следните стъпки ще ви помогнат да подготвите бизнеса си за новите изисквания:

- Разработване и въвеждане на политики и процедури за реакция при нарушения на сигурността

- Определяне на екип от служители за реакция при нарушения на сигурността - Определяне на консултант, който ще съдейства с процедурата по уведомяване в случаите на нарушение на сигурността - Обучения на персонала
- Създаване на регистър на нарушенията в сигурността

- Оценка на предприетите към момента мерки за сигурност.

---------------

Таня Стивасарева е адвокат, мениджър в адвокатско съдружие "Ърнст и Янг", с повече от 10 години опит в консултиране на клиенти по въпроси, свързани със защита на личните данни, трудово право и защита на конкуренцията. Тя има магистратура по международно и европейско право от Университета в Амстердам, Холандия. Лектор е на множество професионални събития в областта на личните данни, електронната търговия и нелоялните търговски практики. Консултира водещи международни компании по въпросите на защита на личните данни в България и Европа. Член е на Международната асоциация на специалистите по защита на личните данни. Съпредседател е на Комитета по човешки ресурси на КРИБ и участва активно в експертни групи по промяна на законодателството в България.

Регина Колева е старши адвокат в адвокатско съдружие "Ърнст и Янг". Има богат опит във всички етапи от прилагането на политики за защита за личните данни при бизнеси от различни икономически сектори. Консултира водещи компании във фармацевтичния сектор по въпроси на фармацевтично право, лични данните, защита на потребителите и конкуренция. Завършила е магистратура по право на околната среда в University College London и към момента е докторант по административно право в Софийски университет "Св. Климент Охридски".

Продължение на текста "Още регулация на личните данни: бреме или възможност" от 27 март

Изтичането на конфиденциална информация безспорно е една от най-чувствителните теми за бизнеса днес. И статистиките потвърждават това. Пробивът в системите на Anthem Inc. (втората по-големина социалноосигурителна компания в САЩ) предизвика изтичането на данни на 78.8 млн. физически лица, а случаят "Досиетата от Панама" (Panama Papers) разкри обвързаности на стотици известни личности с офшорни компании. Жертви на пробиви в сигурността са както водещи компании от технологичния, здравния и ритейл сектора, така и държавни институции и водещи банки. А последствията могат да бъдат значителни – съдебни битки, финансови обезщетения, загуба на репутация, отлив на клиенти, глоби.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK