С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
3 апр 2017, 13:06, 10628 прочитания

Пробив в сигурността на данните – какво да правим

От 25 май 2018 г. администраторите на лични данни ще са длъжни да докладват нарушения в сигурността на данните в срок от 72 часа

Таня Стивасарева | АС "Ърнст и Янг"
  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Продължение на текста "Още регулация на личните данни: бреме или възможност" от 27 март

Изтичането на конфиденциална информация безспорно е една от най-чувствителните теми за бизнеса днес. И статистиките потвърждават това. Пробивът в системите на Anthem Inc. (втората по-големина социалноосигурителна компания в САЩ) предизвика изтичането на данни на 78.8 млн. физически лица, а случаят "Досиетата от Панама" (Panama Papers) разкри обвързаности на стотици известни личности с офшорни компании. Жертви на пробиви в сигурността са както водещи компании от технологичния, здравния и ритейл сектора, така и държавни институции и водещи банки. А последствията могат да бъдат значителни – съдебни битки, финансови обезщетения, загуба на репутация, отлив на клиенти, глоби.


Високият риск от неправомерно изтичане на данни е стимул за компаниите да инвестират в подобрения на сигурността. Често пъти обаче данни изтичат в резултат на грешка (публикуване на данни по невнимание) или действия на вътрешен потребител. Новият Общ регламент за защита на личните данни отчете значението на тези въпроси, като въведе изисквания към мерките за сигурност на данните и задължи администраторите да уведомяват надзорния орган и засегнатите лица в случай на пробив.

Мерки за сигурност

Компаниите трябва да предприемат подходящи мерки за защита на личните данни, които зависят от вида и обема на обработваните данни, целите на обработването и евентуалните рискове за физическите лица. Мерките, например псевдонимизация и криптиране на данни, трябва да съответстват на съвременните достижения на техническия прогрес, но и да са съобразени с разходите, необходими за прилагането им. Въвеждането на кодекси за поведение по индустрии и сертифициране към оторизирани институции може да служи като доказателство за спазване на заложените в регламента стандарти за сигурност.



Уведомяване за нарушения в сигурността

Регламентът задължава всички администратори на лични данни да уведомят надзорния орган (в България – КЗЛД) за нарушения в сигурността на данните. Досега такова задължение съществуваше само за телекомуникационния сектор. То се прилага както при пробиви от външен източник (хакерска атака), така и при разкриване на данни в резултат на грешка или действие на вътрешен потребител. Това задължение е значително по-широко от предвиденото в много от щатите в САЩ уведомяване при разкриване на данни, което може да доведе до измама или кражба на идентичност (например финансова информация).

Срок

Администраторът е задължен да уведоми надзорния орган "без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него". В случай че уведомлението е извършено след 72-рия час, трябва да се посочи основателна причина за неспазването на срока. 72-часовият срок тече от момента, в който компанията узнае за пробива в сигурността. Това е логично, тъй като хакерските атаки могат да траят месеци преди компанията да ги засече. Доказването на момента на узнаване също е в тежест на администратора.

Не подлежат на уведомяване случаи, при които няма риск за физическите лица. Към момента няма допълнителни указания какви случаи биха попаднали в тази категория, което поражда несигурност за бизнеса и риск от санкция в случай на неправилно тълкуване.

Дружества, които обработват лични данни от името на друго лице (при предоставяне на счетоводни услуги например), нямат самостоятелно задължение за уведомяване на надзорния орган. Те следва да уведомят възложителя на услугата, който на свой ред е длъжен да уведоми КЗЛД и засегнатите лица.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

05 ноември 2019
София Ивент Център

Конференция The Future of Retail


Ранна регистрация до 21 октомври.

Как ще изглежда ритейл секторът през следващите 5 години и какви са възможностите за нови пазари пред местните търговци?
Водещи лектори от България и чужбина ще представят своите отговори по време на ежегодния форум на Капитал, посветен на ритейл бизнеса.

Още акценти в програмата:


  • Нови технологии и дигитализация
  • Тенденции в ритейл маркетинга
  • Клиентско поведение и преживяване
  • Устойчива и екологична търговия
  • Синергия между физическите и онлайн магазини
  • Иновации в търговските пространства

Конференция The Future of Retail Запазете билет

Прочетете и това

Какви са санкциите по Програмата за селски райони при неизпълнение на бизнес плановете Какви са санкциите по Програмата за селски райони при неизпълнение на бизнес плановете

В момента тече мониторинговият период и стопаните трябва да са готови за проверки на проектите

28 авг 2019, 1185 прочитания

ЕК въведе нови правила за финансови корекции на европроектите ЕК въведе нови правила за финансови корекции на европроектите

Санкциите вече ще бъдат точно определен процент

31 юли 2019, 2212 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Консулт" Затваряне
Хеджиращите договори – все по-сложни, все по-необходими

Търговците на суровини и компаниите, чиито вземания са в една валута, а задълженията – в друга, могат да управляват ефективно рисковете си

ПИК-ът на отровената среда

Очернянето на годеницата на кандидат-кмет на София от кафявия сайт "ПИК" за първи път породи консенсус сред политици, журналисти и PR-и за това какво НЕ е журналистиката

Ковачки цапа, всички му плащат

Горенето на отпадъци става с разрешението на държавните институции въпреки съмненията за спазване на еконормите

Как започва вносът на боклуци в България

Отпадъци за горене започват да се внасят в периода 2014 - 2016 г., като зад начинанието е бившият директор на "Лукойл България" Валентин Златев.

Понижена или повишена е България в новата Еврокомисия

Мария Габриел ще отговаря за обширен ресор с огромен бюджет, но с малка политическа тежест

20 въпроса: Ралица Петрова

Режисьорката на "Безбог" завършва сценария към следващия си филм

Кино: "То: Част втора"

Сумата от всичките ни страхове по Стивън Кинг