С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
28 юни 2017, 10:59, 11080 прочитания

GDPR – задължителният регламент, с който ЕС едновременно предизвика бизнеса и му даде нови възможности

Интервю с Боян Янчев – Директор техническа реализация в Лирекс

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Реклама Тази статия е с рекламно съдържание, предоставено от трета страна и не е обвързана с редакционната политика на медията.
В последно време все по-често в бизнес средите се говори за GDPR. Какво е GDPR всъщност?

През месец май 2016 г. Европейският съюз въведе задължителния регламент (ЕС) 2016/679 General Data Protection Regulation (GDPR). Той покрива различните аспекти на боравенето с лични данни от страна на всички организации по света, които оперират с лични данни на граждани на ЕС. Регламентът ще се прилага ефективно след 25 май 2018 г, като времето до тогава е дадено на компаниите и държавните учреждения да въведат всички изисквания, които има единната рамка, налагана от GDPR. Общата цел на този регламент е да защити, както интересите на бизнеса, така и правата на гражданите.

GDPR има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество. Същевременно трябва да осигури механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им.

Санкциите до сега са в диапазона 1 000 – 100 000 лева, но след въвеждането на GDPR се променят драстично, като се определят за всеки конкретен случай. Максималният размер е до 20 000 000 EUR или до 4 % от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума

Какво означава това за компаниите?
Това означава, че компаниите ще трябва да въведат определени единни правила и политики, които се отнасят за всички техни отдели, които боравят с лични данни. Някои от основните акценти, които могат да бъдат обособени са: териториалния обхват – регламента за защита на данните не е валиден само за EU, но и за региони, които обработват данни на европейски граждани; въвежда се задължение, без изключения, за искане на съгласие за обработка и съхранение на лични данни. Новост е "Правото да бъдеш забравен", което дава на гражданите право да поискат изтриване на личните си данни от определени организации, както и да бъде прекратено по-нататъшното им разпространение, като тук има нюанси в зависимост от изискванията на други закони за съхранение на информация и дали това заличаване би засегнало обществения интерес. Оформена е регулация на преносимостта на данните в машинно-читаем вид и много други. Едно от ключовите въведения за всички компании, независимо от вида и -размера им, е задължението за уведомяване на компетентния надзорен орган до 72 часа от установено нарушение в сигурността на личните данни, които те обработват.

Какво трябва да направи една компания, за да може да покрие изискванията на този задължителен регламент?
GDPR обхваща различни аспекти от дейностите на една организация. Основните изисквания трябва да бъдат покрити от правните и ИТ отделите на компаниите. Като цяло изискванията в посока на обезпечаването на информационната сигурност на ИТ системите са комплексни и обхващат политиките за информационна сигурност в дадената организация.

С GDPR се въвежда задължение за определяне на служител по сигурността на данните (DPO). Почти всички публични органи и структури ще трябва да определят такъв служител. Това ще трябва да направят тези администратори, които извършват редовно мащабно обработване на различни категории лични данни. Например, в корпоративния сектор, това ще трябва да направят всички финансови организации, телекоми и др.
Ако можем да обобщим основните етапи, през които трябва да мине една компания, за да въведе технологичните изисквания на GDPR, те биха изглеждали по следния начин:

Първоначален GAP анализ , който показва доколко вече наличните технологични и организационни мерки покриват изискванията на GDRP.

Внедряване на организационни и технически мерки и процеси.

Въвеждане на механизми за мониторинг, откриване и рапортуване на изтичане на информация.

Обучение за служители по сигурността на данните и повишаване на осведомеността на персонала

Новост в сферата на личните данни е въвеждането от GDPR на възможност за сертифициране, валидно за целия ЕС. То няма задължителен характер, но дава възможност на компаниите да демонстрират спазване на регламента и ще им даде предимство при изграждането на доверие и имидж при техните клиенти. Всеки администратор на лични данни ще може да сертифицира своите процеси по обработване пред акредитирани за целта органи. Анализът, който ние с колегите в Лирекс направихме за припокриването с други, съществуващи към момента, стандарти, показва че ISO27001 в най-голяма степен припокрива изискванията от GDPR.

Започнаха ли компаниите и институциите у нас да се подготвят за въвеждането на GDPR?
Последните няколко месеца се забелязва силно раздвижване по темата в корпоративния сектор в България. Повечето компании са в състояние на оценка на влиянието на GDPR към тяхната организация. Отчитаме засилен интерес към Penetration testing услугите ни, които показват какво е нивото на защита на дадената компания от външна намеса, чрез симулиране на различни видове, реални атаки. Имаме вече няколко клиенти, които се обърнаха към нас да подсигурим целия технологичен процес по въвеждането на GDPR регулацията в техните компании. Етапите, през които ще минем с тях, за да осъществим тази цел са няколко, в зависимост от спецификата на съответната компания. Първоначално извършваме GAP анализ или одит на текущото състояние, които да установят доколко съществуващите технологични и организационни мерки покриват изискванията на GDRP. За тази цел използваме редица автоматизирани средства за Privacy Impact Assessment.

След това нашите експерти консултират въвеждането и имплементирането на организационни и технически мерки и процеси. В зависимост от нуждите на съответната организация, този етап може да включва разработване и внедряване на процеси и процедури, оценка на риска и консултации за непрекъсваемост на процесите, внедряване и поддръжка на редица решения като Next Generation Firewall, DLP, PKI, Two-factor authentication, криптиране, Application Control, Access Control, File & Data Transfer и много други, както on-premise, така и Cloud-базирани.

За изискванията на GDPR за мониторинг, откриване и рапортуване на изтичане на информация извършваме услуги по penetration testing, които на практика представляват най-реалистичен тест на сигурността и защитата на данните. Имаме възможност и за аутсорсинг на наблюдение и рапортуване, както и внедряване на системи за мониторинг, SIEM и Vulnerability Management. Не бива да подценяваме и подминаваме и последния етап, свързан с обучението за служителите по сигурността на данните и повишаване на осведомеността на персонала, защото най-голямата част от пробивите в информационната сигурност на компаниите в световен мащаб, се дължи именно на недостатъчните знания на екипите. Ние предоставяме на клиентите си услуги по обучение на DPO и екипи които са пряко въвлечени в темата GDPR в организацията, както и провеждане на практически учения на персонала за работа при инциденти и кризи.

Работим тясно и с водещи правни компании, за да можем да предложим максимално цялостно решение на компаниите, които нямат правни отдели, които да могат да подсигурят тази част от изискванията на GDPR.

В какви срокове се случва въвеждането на всички неща, които изброихте, за да може една компания да отговори на всички изисквания на регламента?

Крайният срок, в който всички трябва да са въвели съответните мерки е 25.05.2018г.

Времето за проверка и въвеждане на технологичните процеси може да варира в зависимост от различни фактори като нивото на вече съществуващите процеси, обема на организацията и др. Ние съветваме всички да стартират тази процедура възможно най-бързо, защото може да отнеме и повече от 6-8 месеца, а прилагането на регламента влиза в сила следващата пролет.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg
24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Реклама" Затваряне
Истински паркетни лъвове

Поредното събитие на Дибла с домакин Паркетенсенс даде нов поглед към паркетите и тенденциите в подовите покрития

Ново време за "Славянска беседа"

Двама френски предприемачи са купили 2 хил кв. м за близо 3 млн. евро, за да направят офиси и споделено простраство

Арабският пробив на IPS

Българската семейна компания "Интернешънъл пауър съплай" завърши ключов проект за Saudi Aramco

Формулата на Манолова: кмет-омбудсман

Обещанието за допитване до хората по всички важни въпроси носи предизборни дивиденти, но и рискове от прекомерни очаквания и блокажи

София: този път има интрига

За пръв път от над 10 години в София се води истинска политическа кампания. "Капитал" прекара по един ден с четиримата основни кандидати, за да види отвътре как те се борят за гласовете на софиянци

Изкуство на ръба

"Фриндж" в Единбург е най-големият фестивал на изкуствата в света

Другари срещу "хулигани"

Изложба изследва хомосексуалността в България по време на комунизма