Сигурност

Повечето европейски компании не са готови за GDPR

CIO Media

Новият регламент на ЕС за защита на личните данни 2016/679 (т.нар. General Data Protection Regulation, GDPR), влиза в сила на 25 май 2018 г. Той въвежда строги изисквания относно уведомяването на държавните органи за изтичане на данни и обработката на лични данни изобщо, а за неспазване на регламента се предвиждат огромни глоби. Компаниите обаче разполагат само с една година за да се подготвят за спазването на новите правила и това време може да се окаже недостатъчно. Проучване, проведено през март от анализаторите от SailPoint показва, че план за преход към изискванията на GDPR имат едва една четвърт от компаниите. А според аналогично изследване на Gartner, повечето компании, които новият регламент засяга, няма да бъдат готови да осигурят спазването му и до края на 2018 година. 

Разбира се, регламентът GDPR се отнася и за българските организации. 
Нови изисквания
Ето някои основни нови моменти, които се въвеждат с регламента:
>> По отношение на отчетността: Необходимостта от демонстриране на съответствие с принципите законосъобразност, справедливост и прозрачност, ограничаване на целите, минимизиране на данните, точност и
ограничаване на съхранението.
>> По отношение на нарушенията на сигурността: Приетите мерки трябва да съответстват на риска.  При нарушения надзорния орган и засегнатите лица трябва да бъдат уведомени в срок до 72 часа. 

>> По отношение на съгласието на лицата. Обработването е законосъобразно при: съгласие, необходимост, правно задължение, защита, публичен или законен интерес или официална власт. Съгласието трябва да е дадено свободно, специфично, информирано, недвусмислено и изрично. Не е законосъбразно съгласие по подразбиране. 
>> По отношение на защита при проектиране. Неприкосновеност при изграждане на системите privacy by design, privacy by default.  Всички искания за съгласие са по подразбиране “не”. 
>> По отношение на права на субектите. Субектите имат право да поискат, а организациите трябва да осигурят изтриване, достъп, коригиране, възражение, ограничение и преносимост на данните за всеки субект. Трябва да е осигурен достъп до данните по лесен и разбираем начин. 

Евентуални казуси
В съответствие с GDPR, компаниите са длъжни да докладват за изтичането на данни в срок от 3 денонощия от момента на откриването на такъв инцидент. Но за такова време е трудно да се определи, дали са откраднати точно такива данни, които са защитени от регламента – например GDPR не не защитава интелектуалната собственост на компаниите. 

В тази ситуация компаниите могат да решат да докладват за всяко изтичане на данни, просто за да се застраховат срещу възможни санкции.
Санкции

Размерът на глобата за неспазване на GDPR може да достигне 20 млн. евро или 4% от годишните приходи на провинилата се компания. 

X