Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 10, 2017

Какво да направи бизнесът, за да спази изискванията за личните данни на ЕС?

от , 19 октомври 2017 0 183 прочитания,

Виргиния Стаматова


Компаниите трябва да предприемат организационни стъпки, да намерят рамката, с помощта на която да преправят или подобрят процесите си, да изработят карта на наличните си данни и да маркират необходимите за бизнеса и ненужните такива. Това е първата стъпка за да станат съвместими с Общия регламент за защита на личните данни (GDPR), коментира Тодор Ташев, директор бизнес развитие на „Парафлоу Комуникейшънс“.

„От технологична гледна точка нещата са сравнително лесни и опират до претърсване на всички масиви с данни – официални и неофициални, с които разполагат фирмите. Ако компанията е обръщала внимание на сигурността на данните и има правила как и кой може да ги съхранява и използва, нещата ще изглеждат много лесни: само с няколко допълнителни вътрешни правила съответствието с GDPR може да бъде осъществено“, коментира още той.

Информацията, която се намира във всяка организация е два вида – структурирана и неструктурирана. Всички големи производители на бази данни, които съхраняват и обработват структурирана информация, ще изкарат версии, които криптират цялата база, което означава че тя ще бъде защитена, пояснява Тодор Ташев: „Дори да бъде открадната по някакъв начин, извършителите няма да имат достъп до съдържанието й, освен ако не са откраднали и средствата за достъп до тази криптирана информация. По-сериозното предизвикателство е с неструктурираните данни, намиращи се на различни места в сървърите, дисковите масиви и крайните устройства на компанията“, допълва той. Поради исторически причини, данните са нараствали главоломно, без някой в повечето компании да полага усилия да ги почиства по някакъв начин, или да ги сортира, да преценява дали още са необходими.


Какво да направи бизнесът, за да спази изискванията за личните данни на ЕС?


Проблемът е в неструктурираните данни

 Основното предизвикателство е как неструктурираните масиви да бъдат сканирани и да се извърши класификация на данните в тях, за да бъдат открити и маркирани личните данни, които се съдържат в тях.

 За по-малките компании това ще е по-лесно - данните са по-малко, съхранението им е по-централизирано, защото обикновено имат една система за управление на бизнеса, в която държат по-голяма част от информацията.

 „При големите компании, предизвикателството е сериозно от процесна гледна точка. Те имат нужда от методическа помощ от хора, запознати с изискванията и това предимно е консултантски проект от правен характер. Технологичните решения са по-скоро инструмент, който да им помогне там, където има несъответствие, за да бъдат технологично подкрепени“, обяснява Ташев.

 Регламентът за личните данни влиза в сила на 28 май и ако организациите вече не са направили първите си стъпки, няма да могат в предвидения от регламента срок да приведат процесите си в съответствие, предупреждава Тодор Ташев. Хубавото е, компаниите, с които сме контактували разбират предизвикателството и вече са започнали за действия: запознати са, правят първи стъпки и планират докладите си за оценки, за да видят в кои области са несъответствията и къде имат припокриване с изискванията на GDPR.

Изчакването е заради необходимостта от инвестиция на средства: в бюджетите за 2017-та на повечето компании, с които сме контактували няма предвидени такива разходи и затова всички отлагат промените за следващата година. Вероятно ще има компании, които ще предпочетат да изчакат, да направят формални стъпки или дори или ще рискуват да бъдат глобени.


Заявления от потребители, които искат „да бъдат забравени“

 Правото „да бъдеш забравен“ е двупосочно. Някои хора искат да бъдат забравени, а други – да бъдат запомнени. От друга страна, дори някой да пожелае да се възползва от това право, то не е абсолютно поради възможността тези данни да са необходими по регулаторни изисквания: финансово-счетоводни, пенсионно-осигурителни или достъп на органите на реда до данните на гражданите у в случаите регламентирани в други закони. Всяко физическо лице, което иска да бъде забравено, може са разбере какви са ограниченията му. За целта организациите, обект на регулаторни изисквания, трябва да уведомят гражданите, чиито данни съхраняват каква е причината за това, какъв е срокът и как ще ги обработват.

 По отношение на правото физическите лица да бъдат забравени, GDPR не задължава, всички данни да бъдат изтрити, а постановява възможността да бъдат премахнати данните, които идентифицират лицето, така че то да не може да бъде еднозначно определено. Всяка организация, която би искала да запази нужните за бизнеса данни за клиентите си, за да анализира и планира по-добре процесите си, може да го направи при спазване изискванията на Регламента и това най-вероятно ще се случи, като ги анонимизират и ги съхраняват за нуждите на анализа. Отделните потребители няма да бъдат идентифицирани като такива в тези организации. Има много технологични инструменти, с които това да бъде извършено.


Софтуерни решения за данни

 Технологичните решения, приложими във връзка със защита на личните данни са в няколко посоки – системи за управление на данните, които сортират информацията, а след това – идват решенията за защита или „минимизиране“ на данните.

Системите за управление на данни (data management), сортират масивите, използвайки правила, за да бъдат класифицирани данните и в тях, съответно маркирани хранилищата, в които са личните данни и дават възможност да се предприемат съответните действия – тези данни да бъдат защитени, изтрити или архивирани и маскирани, така че личната информация да не е видима.

 “Парафлоу Комюникейшънс“, като партньор на водещите производители на решения за сигурност Symantec и Veritas, предлага надеждни решения за управление на данните.

 „Цялата фамилия решения за 360о Data management на Veritas, позволява идентифициране, архивиране и структуриране на потока от информация. Това са Veritas NetBackup, eDiscovery Platform, DataInsight и Information Map Решението за неструктурирани данни Enterprise Vault пък дава възможност да бъдат подредени и неструктурирани и неструктурираните данни в масиви на компаниите“, кометира Ташев.

“Парафлоу Комюникейшънс“ предлага и решението за превенция изтичането на данни Symantec DLP, независимо дали става дума за лична или бизнес информация, с помощта на което се въвеждат правила за работа с критична за бизнеса информация и нейното споделяне чрез имейл, уеб или преносими средства за съхранение на данни.

 „Партнираме си и с Vormetric, които предлагат решения за криптиране, анонимизиране и псевдонимизиране на данни, което също решава част от предизвикателството за изпълнение на предвиденото в регламента“, уточнява още Ташев.


GDPR ще разшири дела на облачните услуги

 Трудно е да се каже, колко средно може да струва преработването на бизнес информацията според изискванията на GDPR, тъй като цените зависят от бизнеса и обема на данните. Хубавото е, че решенията се предлагат както като инвестиционен разход (закупуване на софтуера), така и като оперативен – да се ползват като услуга. Повечето облачни компании правят необходимите стъпки, да защитят средите си и предложат на клиентите да прехвърлят своите критични данни в облака.

 Вече доста български компании са мигрирали към облака или го използват хибридно. Фирмите, които се колебаят или само експериментират с облака ще направят по-сериозни стъпки в тази посока, за да спестят част от средства, за да защитават информацията в масивите си. Още повече, че GDPR дава възможностна администратора на лични данни да възложи при строго определени правила функциите за обработка на лични данни на обработващия (каквито ще се явяват облачните платформи) итова да намали риска за администратора на лични данни, ако обработващия не е изпълнил правилата и поради тази причина има изтичане на лични данни.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов