С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
6 апр 2018, 13:20, 6295 прочитания

След края на данните

GDPR ще доведе до промени в това как се обработват и унищожават личните данни на клиентите

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Още по темата

Без паника

Какво трябва да знае всеки бизнес за личните данни преди 25 май

6 апр 2018

Професия "Пазител на данните"

В кои случаи фирмите трябва да назначат служители за защита на данните и какви са техните задачи

6 апр 2018

GDPR - въпроси и отговори

Какво трябва да знаят фирмите за новия регламент за личните данни

29 мар 2018
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

"Правото да бъдеш забравен" все още е сива зона на човешките права. От една страна, то е напълно логично - всеки би се съгласил с нуждата да може свободно да определя развитието на живота си, без да бъде завинаги преследван от решенията в своето минало (както предполага събираната от различни интернет профили информация). От друга страна, стои интересът на обществото да не се налага цензура и историята да не бъде пренаписвана.

GDPR засяга този въпрос по тънка граница. След 25 май новите правила на ЕС за защита на личните данни ще овластят до известна степен потребителите. Поне що се отнася за търговски и корпоративни цели, всеки ще може да поиска дадена фирма или организация да изтрие събраната за него информация.

За бизнеса това означава няколко нови изисквания - да осигурят на потребителите си възможността да поискат подобно изтриване и да организират бърз и сигурен процес за унищожаване на данните.

Началото на края



Сигурното изтриване на информация не е толкова просто, колкото звучи. Затова е добре бизнесите да следват няколко прости съвета. Сред тях е винаги да знаят какви данни събира фирмата, както и през какви процедури по сигурност трябва да премине. Тези детайли могат да включват за колко време може компанията да държи различните типове лични данни; колко време тези данни трябва да бъдат защитени и по какъв точно начин да бъдат унищожени данните.

Първият проблем е, че много служители все още не осъзнават колко е важно сигурното унищожение на личните данни. В случай че чувствителна информация попадне в грешни ръце, това може да доведе до големи глоби. Компаниите трябва да вземат нужните мерки, за да бъдат техните служители добре подготвени при нуждата от сигурно изтриване на такъв тип данни. В случай че става дума за изключително чувствителни данни, може да се наложи дори физическо унищожение на хардуер вместо софтуерно изтриване.

Ако дадена компания няма конкретна политика за сигурност и унищожение на лични данни, тя е изложена на много по-голям риск при евентуално изтичане на информация. Затова е добре всеки да изгради конкретна стратегия относно премахването на лични данни. Всички служители трябва да са наясно с политиката на фирмата. В случай че става дума за дружество в публичния сектор, GDPR задължава държавните звена да имат специален служител, който да отговаря за защита на данните и тяхното безопасно изтриване.

Цената на информацията

Може да звучи цинично, но за много хора личните данни са "черното злато" на XXI век. Те са и горивото за ръст на много от интернет компаниите. Освен ако не сте много стриктни и внимателни с това какво точно правите в интернет, шансовете са, че компании като Facebook, Google наред с приложения като Tinder и много други знаят много повече за вас, отколкото си представяте.

GDPR е опитът на Европейския съюз да наложи по-лесно и по-сигурно изтриване на информацията. Този казус продължава да бъде един от най-големите рискове за бизнесите. В момента много компании разчитат за целта на трета страна, която да се справи с всички регулаторни пречки, да намали рисковете и в процеса да спести бизнес ресурси. За много от тези компании, на които вие сте дали данните си (администратори), сигурното премахване на лични данни и тяхното пълно унищожение е извън основния бизнес. Според редица правни експерти обаче този начин на работа става все по-нестабилен и GDPR трябва да поправи тази нестабилност.

Да надникнем в негативните примери, които аргументират новата регулация. През 2016 г. Yahoo! обяви, че хакери са откраднали личните данни на около 1.5 млрд. потребители. Подобно количество изтекла информация крие огромни рискове - за анализ, откраднати самоличности или финансови загуби. Сега ЕС ще се опита да ограничи подобни кризисни ситуации със заплаха от огромни глоби - до 20 млн. евро или 4% от глобалния оборот на дадена компания. Според новия регламент, ако има подобно изтичане на данни, компанията трябва да съобщи на властите и клиентите си в рамките на 72 часа. Когато Yahoo! призна за пробива в края на 2016 г., ставаше дума за вече свършени факти от 2013 и 2014 г. Компанията така и не беше наказана.
Правила за безопасно унищожаване на информация

1. Разберете какви изисквания имате към обработката на данни. Така ще знаете кога, какви и колко данни трябва да изтриете.

2. Разберете каква е заплахата при евентуално изтичане на данни. Повечето фирми не осъзнават какви са потенциалните рискове ако информацията попадне в грешни ръце.

3. Въведете стратегия за сигурност на данните и сигурно унищожаване на данни. Това е единственият начин да реагирате адекватно в случай на пробив.

4. Преценете приоритетите при унищожаване на данни. Ако потенциалните рискове предполагат да го правите на всяка цена, ще сте склонни да инвестирате повече в процеса.

5. Преценете колко краен трябва да процесът по ликвидиране на данните. В някои случаи с особено чувствителни данни може да се наложи дори унищожаване на харддискове и друг хардуер пред свидетели. В повечето ежедневни случаи това няма да е нужно.

6. Обучете служителите си. Всеки, който има досег с обработката на лични данни трябва да е наясно с техническите аспекти на тяхното съхраняване или унищожаване. В противен случай стратегиите нямат значение.

7. Разпишете целия процес в детайли. Служителите трябва да знаят как започва и как приключва ликвидирането на данни.

8. Проверявайте вътрешните си правила постоянно. Разбира се трябва да изпробвате как работи процесът преди неговото налагане, но се налага и да го актуализирате на редовни периоди от време.

Принципът на съгласието и кой може да използва данните ми

Основен принцип при обработката на лични данни е съгласието. GDPR дава общо седем основания за обработка на личните данни на дадено физическо лице. На всеки бизнес е нужно поне едно, за да има право да работи с лична информация. Колкото повече основания има един администратор обаче – IT фирма, работодател, или друга страна, получаваща лични данни – толкова по-добре за нея.

Ако причината е една - само съгласието между субект и администратор, това е възможно най-лесният начин за прекратяване на обработката на данни. Клиентът може да оттегли съгласието си, да поиска да разбере от администратора каква точно информация се обработва и в крайна сметка да поиска нейното унищожение. Във всички случаи с навлизането на GDPR обработващите лични данни трябва да могат по всяко време да отговорят на въпросите кои точно данни събират и по какъв начин може да се случи унищожението им.

Работата за администраторите със сигурност ще бъде повече
, но правата на потребителите по план трябва да бъдат по-добре защитени. Крайната цел е по всяко време да се знае кои точно данни се обработват и да се гарантира, че те могат да бъдат спрени от обработка и унищожени. В случаите с трети страни, когато имаме едно дружество, което дава на друго да изтрие данните на свои клиенти, след влизането в сила на GDPR ще има някои основни промени. Може би най-голямата от тях е, че отговорността между администратора и третата страна става солидарна. Обработващият данни трябва да има писмен договор с администратора, който да осигурява сигурността на данните.

При запитване от потребител към администратор отговорът в рамките на един месец е задължителен. Администраторите също така трябва да могат да обяснят и как точно става сигурното изтриване на данни, дори и тази работа да е аутсорсната към друга фирма. Това може да стане чрез унищожение на хард дискове, форматиране или друг начин, който да бъде документиран.

Една от големите гордости на GDPR е, че регламентът е технологично неутрален. В него не се казва, че задължително трябва да се ползва анонимизиране, псевдонимизиране или криптиране, които са модерните начини за защита на личните данни, за да се гарантира сигурност. Регламентът казва, че трябва винаги да се ползват такива мерки, които да гарантират сигурността на потребителите и администраторите трябва да могат да докажат във всеки момент, че данните са защитени. На практика регламентът казва "не ни интересува как ще се случи, а да бъде направено". Предвид все по-бързите промени в технологиите идеята за технологична неутралност може да се окаже особено важна
в бъдеще.

С новия регламент компаниите ще трябва да направят и друга голяма промяна – да направят своите изисквания, правила и договори по-разбираеми за широката публика. Това важи с най-голяма сила за интернет компаниите. Досегашните свитъци, които се четяха от изключително малък брой потребители, както и имаха лесната опция за бързо съгласие, ще трябва да бъдат пренаписани, така че да са по-лесно разбираеми.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Речник на термините в GDPR 4 Речник на термините в GDPR

6 апр 2018, 8248 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 5908 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
Венцислав Караджов: Прилагането на GDPR започва с анализ на бизнес процесите

Венцислав Караджов, председател на Комисията за защита на личните данни пред "Капитал"

Финансовата буря на Турция

Турция е пред финансов колапс. Сривът на лирата до рекордно дъно събуди страхове, че това може да е предвестник на нова криза на развиващите се пазари

Трите рекламни стълба на L'Oréal

Главният дигитален директор, българката Любомира Роше, разказва пред "Капитал" за новата рекламна стратегия на козметичния гигант

Фонд на Рокфелер продава ритейл парка в Пловдив на групата "Химимпорт"

Активът се оценява на над 35 млн. лв., но дълговете са почти толкова

Индексите на борсата започнаха седмицата с ръст

"Стара планина холд" реализира най-голям ръст след съобщението за дивидент

Лято в Пулия

Дългата сиеста е закон, часовниците не пазят реалното време, а духът на общността е заложен в миналото

Книга: Сет Стивънс-Давидовиц - "Всички лъжат"

Може да излъжете всички, но не и "Гугъл"

K:Reader

Нов и модерен инструмент, който пренася в дигитална среда усещането от четенето на хартия.

Прочетете целия вестник или списание без да търсите отделните статии в сайта.
Капитал, брой 33

Капитал

Брой 33 // 18.08.2018 Прочетете
Капитал PRO, Вечерни новини: Ралица Агайн вече не е в КФН, стартът на Търговския регистър е отложен

Емисия

DAILY @7PM // 21.08.2018 Прочетете