Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

CIO PR Зона

Видимостта при събиране и обработване на личните данни и синхрон в организацията са ключови за съответствието с GDPR

1319 прочитания

За основните акценти в новия регламент на ЕС за защита на личните данни разговаряме с Владимир Митев, мениджър „Бизнес развитие, кибер-сигурност“, Телелинк

Г-н Митев, как се промени начинът, по който обменяме информация през последните няколко години?

Напоследък възприемаме комуникационните технологии като даденост. Те определено промениха начина ни на живот и ни позволяват да обменяме всякакъв вид информация почти мигновено. Огромният обмен на информация прерасна в създаване на дигитални копия на почти всеки от нас. Този напредък позволи профилиране на огромна част от населението, което улеснява персонализирането на услуги, но в същото време се прекрачват граници, свързани с неприкосновеността на личните данни. Това е твърде важна тема, за да остане незабелязана, и след много дебати ЕС успя да постигне нужния правен баланс, резултатът от който е GDPR (General Data Protection Regulation), или както е дефиниран в България: Закон за защита на личните данни (ЗЗЛД).

Какви са основните акценти в новия регламент?

В своята същност GDPR поставя в правна рамка разумни идеи, свързани с информационната сигурност и в частност със защитата на личните данни. Минималното им събиране, заличаването им когато те не са необходими, ограничаването на достъпа до тях и осигуряването на защитни механизми са сред основните приоритети на регламента. Обект на регламента са личните данни на всички граждани на ЕС без оглед на това в коя точка на света тези данни се събират и обработват.

Наред с изброените приоритети в регламента са залегнали също и няколко концепции и добри практики. Сред тях са Privacy by Design, което налага събиране на минималното необходимо количество лични данни, съхранението им за минимално време и изискване на изрично съгласие от физическите лица, когато техни лични данни се събират и обработват. Оценката на въздействието върху защитата на личните данни е друга добра практика, която е залегнала в регламента. Подробно са регламентирани и „правото да бъдеш забравен“, както и известяването при компрометиране на мерките за защита на вече събрани лични данни.

Какво означава това за компаниите и кои са областите, върху които трябва да фокусират усилията си?

Преди всичко, за компаниите това означава наистина много работа. Месец май, 2018 г. (моментът, в който регламентът влиза в сила) не е никак далеч с оглед на необходимите подготвителни дейности.

Първата ми препоръка е детайлно запознаване със самия регламент. Санкциите са от порядък, който напълно осмисля прочита на 88 страници. Това ще даде яснота какво конкретно трябва да включва програмата за подготовка за покриване на изискванията в GDPR. Задължителна е правна консултация, но в присъствие на представители от ИТ, отделите по човешки ресурси и висшето и оперативно ръководство. Това ще доведе до синхронизация на всички звена в организацията и ще предотврати синдрома на „горещият картоф“.

След като се очертае рамка на плана за действие, основният фокус е разумно да се насочи върху дейностите, свързани с отговор на въпросите при какви обстоятелства, защо, как и какви лични данни се събират и респективно обработват. Това може би ще е най-тежката задача за придобиване на подобна „видимост“. Отговорът на посочените въпроси практически ще преполови нужната работа за подготовка.

Следващата значима стъпка е изготвяне на оценка на въздействието върху защитата на личните данни. Регламентът не дава препоръки коя методология да се използва, като предоставя свобода всяка организация сама да прецени кой подход е най-подходящ, съобразявайки се с факта, че организациите са изложени на различни рискове и „готова рецепта“ не би била разумна.

Какви биха били технологичните решения, които да намалят риска от компрометиране на достъпа до обработваните лични данни?

Едва ли ще изненадам някого, ако акцентирам върху политиките за сигурност, криптирането на чувствителна информация, управление на идентичности и регулярни проверки за уязвимости, съпътствани с конкретни мерки за отстраняването им. Не е за подценяване изискването компаниите, обработващи лични данни, да уведомяват при установяване на инцидент, свързан със сигурността на личните данни. Член 33 на регламента ясно казва какво е нужно да се включва в уведомленията, което практически изисква сериозно управление на процесите, свързани с установяване на щетите и управление на възникнали инциденти, както и надлежното им документиране, придружено с оценка върху последствията от тях. Това е изключително важно при избор на системи, позволяващи точно изпълнение на посочените изисквания. За жалост, традиционните такива не са достатъчни.

Как Телелинк може да помогне в подготовката на компаниите за съответствие към регламента?

В Телелинк вече традиционно инвестираме огромни ресурси в поддръжката на може би най-пълното портфолио от решения, свързани със защита на информацията и в частност личните данни.

Първите ни сериозни анализи, свързани с GDPR, започнаха преди повече от година, което ни дава възможност да прецизираме дори най-дребните детайли, които биха спънали процеса по изпълнение на изискванията, описани в GDPR. Практическият опит, който придобихме през последните 3 години, ни дава увереност, че сме в състояние да бъдем полезни дори при най-комплексните програми за внедряване на изискванията, свързани с новия регламент. Убедени сме, че качественото изпълнение и оказваното съдействие във фазата на поддръжка на даден проект е също толкова важно, колкото и оптималното му проектиране.

За контакт: marketing@telelink.com
www.telelink.com

(24.07.2017)
За нас | Аудитория | Реклама | Контакти | Общи условия |
Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов