Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
Регистрация
6 апр 2018, 13:20, 2407 прочитания

След края на данните

GDPR ще доведе до промени в това как се обработват и унищожават личните данни на клиентите

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Още по темата

Без паника

Какво трябва да знае всеки бизнес за личните данни преди 25 май

6 апр 2018

Професия "Пазител на данните"

В кои случаи фирмите трябва да назначат служители за защита на данните и какви са техните задачи

6 апр 2018

GDPR - въпроси и отговори

Какво трябва да знаят фирмите за новия регламент за личните данни

29 мар 2018
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

"Правото да бъдеш забравен" все още е сива зона на човешките права. От една страна, то е напълно логично - всеки би се съгласил с нуждата да може свободно да определя развитието на живота си, без да бъде завинаги преследван от решенията в своето минало (както предполага събираната от различни интернет профили информация). От друга страна, стои интересът на обществото да не се налага цензура и историята да не бъде пренаписвана.

GDPR засяга този въпрос по тънка граница. След 25 май новите правила на ЕС за защита на личните данни ще овластят до известна степен потребителите. Поне що се отнася за търговски и корпоративни цели, всеки ще може да поиска дадена фирма или организация да изтрие събраната за него информация.

За бизнеса това означава няколко нови изисквания - да осигурят на потребителите си възможността да поискат подобно изтриване и да организират бърз и сигурен процес за унищожаване на данните.

Началото на края



Сигурното изтриване на информация не е толкова просто, колкото звучи. Затова е добре бизнесите да следват няколко прости съвета. Сред тях е винаги да знаят какви данни събира фирмата, както и през какви процедури по сигурност трябва да премине. Тези детайли могат да включват за колко време може компанията да държи различните типове лични данни; колко време тези данни трябва да бъдат защитени и по какъв точно начин да бъдат унищожени данните.

Първият проблем е, че много служители все още не осъзнават колко е важно сигурното унищожение на личните данни. В случай че чувствителна информация попадне в грешни ръце, това може да доведе до големи глоби. Компаниите трябва да вземат нужните мерки, за да бъдат техните служители добре подготвени при нуждата от сигурно изтриване на такъв тип данни. В случай че става дума за изключително чувствителни данни, може да се наложи дори физическо унищожение на хардуер вместо софтуерно изтриване.

Ако дадена компания няма конкретна политика за сигурност и унищожение на лични данни, тя е изложена на много по-голям риск при евентуално изтичане на информация. Затова е добре всеки да изгради конкретна стратегия относно премахването на лични данни. Всички служители трябва да са наясно с политиката на фирмата. В случай че става дума за дружество в публичния сектор, GDPR задължава държавните звена да имат специален служител, който да отговаря за защита на данните и тяхното безопасно изтриване.

Цената на информацията

Може да звучи цинично, но за много хора личните данни са "черното злато" на XXI век. Те са и горивото за ръст на много от интернет компаниите. Освен ако не сте много стриктни и внимателни с това какво точно правите в интернет, шансовете са, че компании като Facebook, Google наред с приложения като Tinder и много други знаят много повече за вас, отколкото си представяте.

GDPR е опитът на Европейския съюз да наложи по-лесно и по-сигурно изтриване на информацията. Този казус продължава да бъде един от най-големите рискове за бизнесите. В момента много компании разчитат за целта на трета страна, която да се справи с всички регулаторни пречки, да намали рисковете и в процеса да спести бизнес ресурси. За много от тези компании, на които вие сте дали данните си (администратори), сигурното премахване на лични данни и тяхното пълно унищожение е извън основния бизнес. Според редица правни експерти обаче този начин на работа става все по-нестабилен и GDPR трябва да поправи тази нестабилност.

Да надникнем в негативните примери, които аргументират новата регулация. През 2016 г. Yahoo! обяви, че хакери са откраднали личните данни на около 1.5 млрд. потребители. Подобно количество изтекла информация крие огромни рискове - за анализ, откраднати самоличности или финансови загуби. Сега ЕС ще се опита да ограничи подобни кризисни ситуации със заплаха от огромни глоби - до 20 млн. евро или 4% от глобалния оборот на дадена компания. Според новия регламент, ако има подобно изтичане на данни, компанията трябва да съобщи на властите и клиентите си в рамките на 72 часа. Когато Yahoo! призна за пробива в края на 2016 г., ставаше дума за вече свършени факти от 2013 и 2014 г. Компанията така и не беше наказана.
Правила за безопасно унищожаване на информация

1. Разберете какви изисквания имате към обработката на данни. Така ще знаете кога, какви и колко данни трябва да изтриете.

2. Разберете каква е заплахата при евентуално изтичане на данни. Повечето фирми не осъзнават какви са потенциалните рискове ако информацията попадне в грешни ръце.

3. Въведете стратегия за сигурност на данните и сигурно унищожаване на данни. Това е единственият начин да реагирате адекватно в случай на пробив.

4. Преценете приоритетите при унищожаване на данни. Ако потенциалните рискове предполагат да го правите на всяка цена, ще сте склонни да инвестирате повече в процеса.

5. Преценете колко краен трябва да процесът по ликвидиране на данните. В някои случаи с особено чувствителни данни може да се наложи дори унищожаване на харддискове и друг хардуер пред свидетели. В повечето ежедневни случаи това няма да е нужно.

6. Обучете служителите си. Всеки, който има досег с обработката на лични данни трябва да е наясно с техническите аспекти на тяхното съхраняване или унищожаване. В противен случай стратегиите нямат значение.

7. Разпишете целия процес в детайли. Служителите трябва да знаят как започва и как приключва ликвидирането на данни.

8. Проверявайте вътрешните си правила постоянно. Разбира се трябва да изпробвате как работи процесът преди неговото налагане, но се налага и да го актуализирате на редовни периоди от време.

Принципът на съгласието и кой може да използва данните ми

Основен принцип при обработката на лични данни е съгласието. GDPR дава общо седем основания за обработка на личните данни на дадено физическо лице. На всеки бизнес е нужно поне едно, за да има право да работи с лична информация. Колкото повече основания има един администратор обаче – IT фирма, работодател, или друга страна, получаваща лични данни – толкова по-добре за нея.

Ако причината е една - само съгласието между субект и администратор, това е възможно най-лесният начин за прекратяване на обработката на данни. Клиентът може да оттегли съгласието си, да поиска да разбере от администратора каква точно информация се обработва и в крайна сметка да поиска нейното унищожение. Във всички случаи с навлизането на GDPR обработващите лични данни трябва да могат по всяко време да отговорят на въпросите кои точно данни събират и по какъв начин може да се случи унищожението им.

Работата за администраторите със сигурност ще бъде повече
, но правата на потребителите по план трябва да бъдат по-добре защитени. Крайната цел е по всяко време да се знае кои точно данни се обработват и да се гарантира, че те могат да бъдат спрени от обработка и унищожени. В случаите с трети страни, когато имаме едно дружество, което дава на друго да изтрие данните на свои клиенти, след влизането в сила на GDPR ще има някои основни промени. Може би най-голямата от тях е, че отговорността между администратора и третата страна става солидарна. Обработващият данни трябва да има писмен договор с администратора, който да осигурява сигурността на данните.

При запитване от потребител към администратор отговорът в рамките на един месец е задължителен. Администраторите също така трябва да могат да обяснят и как точно става сигурното изтриване на данни, дори и тази работа да е аутсорсната към друга фирма. Това може да стане чрез унищожение на хард дискове, форматиране или друг начин, който да бъде документиран.

Една от големите гордости на GDPR е, че регламентът е технологично неутрален. В него не се казва, че задължително трябва да се ползва анонимизиране, псевдонимизиране или криптиране, които са модерните начини за защита на личните данни, за да се гарантира сигурност. Регламентът казва, че трябва винаги да се ползват такива мерки, които да гарантират сигурността на потребителите и администраторите трябва да могат да докажат във всеки момент, че данните са защитени. На практика регламентът казва "не ни интересува как ще се случи, а да бъде направено". Предвид все по-бързите промени в технологиите идеята за технологична неутралност може да се окаже особено важна
в бъдеще.

С новия регламент компаниите ще трябва да направят и друга голяма промяна – да направят своите изисквания, правила и договори по-разбираеми за широката публика. Това важи с най-голяма сила за интернет компаниите. Досегашните свитъци, които се четяха от изключително малък брой потребители, както и имаха лесната опция за бързо съгласие, ще трябва да бъдат пренаписани, така че да са по-лесно разбираеми.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Крайният срок е
27 май!


Повече подробности на capital.bg/next

Остават броени дни до крайния срок за участие в конкурса за млади бизнес лидери Next Generation 2018!



“Капитал” и “Кариери” търсят активните, вдъхновени и вдъхновяващи мениджъри и предприемачи.

За да разкажем историите им.
И да ги наградим с EMBA стипендии от City College - международния факултет на The University of Sheffield.

Кандидатствай или номинирай Next Generation мениджър или предприемач!


Конкурсът се провежда с подкрепата на Trelleborg.

Прочетете и това

Речник на термините в GDPR 3 Речник на термините в GDPR

6 апр 2018, 2952 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 3183 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
Венцислав Караджов: Прилагането на GDPR започва с анализ на бизнес процесите

Венцислав Караджов, председател на Комисията за защита на личните данни пред "Капитал"

Откъснатият център на Балканите

Въпреки политиката и липсата на еврофондове Западните Балкани се свързват бързо помежду си и с Европа. България остава встрани

Бързи, смели, сръчни мобилни приложения

Българско-финландската компания "Аппзио" разработва платформа, ускоряваща създаването на мобилен софтуер десет пъти

"Слънчо" поглежда отвъд хоризонта

С проект по "Конкурентоспособност" за 1.6 млн. лв. компанията ще започне да изнася детски храни в региона

България изнася все повече машини и авточасти

Увеличението във външната търговия през 2015 г. идва основно от пазарите на ЕС. Спад има при суровините, но той е ценови

Кино: "Без милост"

Трагедиен трилър за границите на възмездието от Фатих Акин

DA за България

Български архитекти получиха световна награда за интериорен дизайн

K:Reader

Нов и модерен инструмент, който пренася в дигитална среда усещането от четенето на хартия.

Прочетете целия вестник или списание без да търсите отделните статии в сайта.
Капитал, брой 20

Капитал

Брой 20 // 19.05.2018 Прочетете
Капитал PRO, "Мобилтел" вече е А1, КЗК най-накрая започва да разглежда сделката за "Нова тв", без екотакса за електромобили

Емисия

DAILY @7AM // 23.05.2018 Прочетете