Лични данни - какво се променя за доставчиците на облачни услуги
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Лични данни - какво се променя за доставчиците на облачни услуги

Лични данни - какво се променя за доставчиците на облачни услуги

Новите им задължения със сигурност ще променят търговските условия

© Надежда Чипева


Всички лица са длъжни сериозно да подобрят системите си за съхранение и защита на лични данни, включително и да актуализират вътрешните си правила и процедури за работа.

През последната година в онлайн пространството, не само в ЕС, но и извън границите му, се дискутира широко новият регламент за защита на личните данни (GDPR), който ще започне да се прилага през май 2018 г. Една от причините GDPR да заема централно място в списъка със задачите на изключително много компании е, че всяко дружество, което обработва лични данни от ЕС (независимо дали то самото е установено в ЕС), попада в обхвата на регламента.

Всички лица, обработващи лични данни, са длъжни сериозно да подобрят системите си за съхранение и защита на лични данни, включително и да актуализират вътрешните си правила и процедури за работа. Един от важните аргументи да се отдели подобаващо внимание на подготовка за регламента са и санкциите, които той предвижда - до 20 млн. евро или до 4% от световния оборот на нарушителя.

GDPR е законодателство, създаващо предизвикателства от нов тип за почти всеки бизнес сектор, а в това число и за доставчиците на облачни услуги. По-надолу ще изложим основните промени, които настъпват за облачните доставчици, тъй като последните ще трябва да положат може би най-големи усилия, за да се адаптират. Това е така, тъй като настоящият механизъм на работа на облаците предполага те често да нямат информация какви данни биха могли да се съхраняват в системите им. Занапред те ще трябва да имат готовност за всякакви ситуации – включително клиентите им да използват услугите им за съхранение на високорискови данни, пазени най-строго от законодателството в областта.

Обработване на лични данни от доставчиците на облачни услуги след 2018 г.

Съгласно GDPR администраторите1 на лични данни и обработващите2 лични данни, каквито са доставчиците на облачни услуги, трябва да въведат подходящи технически и организационни мерки по отношение на рисковете, свързани с лични данни, с тяхното съхраняване или последваща обработка.

По правилата на сега действащата директива за защита на личните данни3 основно администраторите носят тежестта и рисковете от евентуално несъответствие с изискванията. Този законодателен подход беше добре дошъл за обработващите лични данни, които оставаха встрани от фокуса и отговорностите. Специфичното за GDPR е, че за пръв път въвежда някои директни задължения за обработващите лични данни, с които ще трябва да се съобразяват и доставчиците на облачни услуги. Такива задължения например са:

- да се поддържа регистър на всички категории дейности по обработването, извършвани от името на администратора; - когато е необходимо4, да се посочи длъжностно лице по защита на данните; - да назначи свой представител за определени обстоятелства (в случаите, когато обработващият лични данни не е установен в ЕС);

- когато това се изисква, навреме да уведомява за нарушения в режима на обработване на личните данни.

Задълженията на обработващия лични данни включват още:

- поставяне на потребителското съгласие в центъра на системата за защита на данни (получаване на специфично, изрично, предварително, свободно, информирано, оттегляемо съгласие);
- третиране на данните за IP адреси, идентификатори на устройства и геолокация като лични данни с всички последици от това; - обработване на лични данни само по начина, по който е инструктиран от администратора; - използване на подходящи технически и организационни мерки за обработване на лични данни, като такива мерки могат да бъдат криптиране, псевдонимизация и др.;
- изтриване или коригиране на лични данни;

- получаване на позволение да включи и други лица, обработващи данните.

Разпоредбите относно трансфери на лични данни (включително съхраняване и използване на услуги извън ЕС) се прилагат също и за обработващите лични данни.

Новите задължения на доставчиците на облачни услуги със сигурност ще променят търговските им условия, което ще даде отражение и върху динамиката на преговорите. Без съмнение компаниите, които са се насочили към ползването на облачни услуги, ще отделят повече време за избор на доставчик, имайки предвид разпределението на отговорността за личните данни с него. Не е изключено компаниите да започнат да мигрират данните си към други облачни доставчици, предоставящи по-добра защита.

Друг фактор, който изисква своевременно привеждане на дейността на доставчиците на облачни услуги с новите изисквания, е свързан с това, че правилата на GDPR, относими за облаците, са базирани на отношенията администратор – обработващ лични данни (облачен доставчик). В действителност тези отношения се усложняват от факта, че много облачни екосистеми използват т.нар. resellers. Това може да доведе до рискове, които трябва да бъдат идентифицирани и овладени, без да се чака до последния момент.

Какво е необходимо да предприемат облачните доставчици до прилагането на GDPR

На първо място доставчиците на облачни услуги трябва да предприемат извършването на анализ на това доколко вече въведените технически и организационни мерки, политики и процеси, използваните договори и условия отговарят на изискванията на GDPR и защитават интересите им.

След като са идентифицирани рисковете и несъответствията, да се изготви план за ефективно въвеждане на изискванията на новия регламент, след което да се премине към изпълнение на този план. Това може да включва изготвяне/изменение на необходимите документи, предприемане на фактически мерки за защита на личните данни чрез криптиране и псевдонимизация, провеждане на вътрешни обучения, сключване на застрахователни договори, които биха могли да покрият част от рисковете, свързани с GDPR, и други в зависимост от конкретния случай.

Една крачка пред останалите

Имайки предвид всичко гореизложено, не би било пресилено да се прогнозира, че когато регламентът започне да се прилага, най-подготвените облачни доставчици, които предлагат защита на личните данни, съответна на изискванията на GDPR, ще имат предимство пред конкурентите си. От облаците зависи дали ще се възползват от възможността, която GDPR им предоставя.

Тази статия не представлява правно становище или правен съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора й на E-mail: slaveva@tmlawoffice.bg1 Администраторът е лицето, което определя целите и средствата за обработка на личните данни2 Обработващият данните е лицето, което ги обработва от името на администратора – например облак3 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни4 Преценката за необходимостта се прави за всеки отделен случай, на база на указанията от април 2017 г. на работната група по чл.29 (Article 29 Working Party). На практика това е въпрос на тълкуване и решението дали следва да се назначи такова лице по отношение на частноправните субекти следва да се взема отделно за всеки конкретен случай.

Всички лица са длъжни сериозно да подобрят системите си за съхранение и защита на лични данни, включително и да актуализират вътрешните си правила и процедури за работа.

През последната година в онлайн пространството, не само в ЕС, но и извън границите му, се дискутира широко новият регламент за защита на личните данни (GDPR), който ще започне да се прилага през май 2018 г. Една от причините GDPR да заема централно място в списъка със задачите на изключително много компании е, че всяко дружество, което обработва лични данни от ЕС (независимо дали то самото е установено в ЕС), попада в обхвата на регламента.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

1 коментар
  • 1
    kilgore avatar :-|
    kilgore

    Супер неразбираем и отнесен регламент е GDPR.
    Чудесна бухалка за заплаха на непослушни фирми.

    Като го чета, през цялото време се сещам за вица за зайчето, дето вълка щял да го бие и ако няма цигари и ако те са с филтър или са без филтър. Зайчето имало и от едните и от другите цигари. Изяло си боя, защото било без шапка...

    Ето пример - "да се поддържа регистър на всички категории дейности по обработването, извършвани от името на администратора".
    От организанионна гледна точка, ще си напишете политики и процедури. Ще обучите персонала. Ще затегнете физическата сигурност.
    Само за горното изискване, от техническа точка трябва да се внедрят лог системи за файлови системи и за бази данни (различни производители; скъпо до луната и обратно). После ще ви попитат откъде знаете, че тези дето са достъпвали информацията, не са я изнесли по мейл, флашка и т.н.? Има и за това скъп и труден за ползване продукт.
    Дотук сте осигурили цигари с филтър и без филтър.

    Накрая ще ви попитат как ще докажете, че информацията не е изтекла като служителят ви е снимал с телефона си, записал на ръката си или запомнил информацията, която е изтекла и защо твърдите, че не е изтекла от вас, както твърди подателят на жалбата.
    Това е шапката, която нямате. :)


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK