office:  088 666 9939 – 088 675 1052

Сигурността е процес, който никога не приключва”

Владан Николич, старши консултант по сигурност в IBM 

    Изтеглете теста на български език —->  тест за лични данни

Високият риск от неправомерно изтичане на данни е стимул за компаниите да инвестират в подобрения на сигурността. Често пъти обаче данни изтичат в резултат на грешка (публикуване или изпращане на данни по невнимание) или различни други действия, резултат от човешка грешка. GDPR отчете значението на тези въпроси, като въведе изисквания към мерките за сигурност на данните и задължи администраторите да уведомяват, съгласно предвидените разпоредби, надзорния орган и засегнатите лица в случай на пробив.

Мерки за сигурност Компаниите трябва да предприемат подходящи технически и организационни мерки за защита на личните данни, които зависят от вида и обема на обработваните данни, целите на обработването и евентуалните рискове за правата на физическите лица. Мерките, като например псевдонимизация и криптиране на данни, трябва да съответстват на съвременните достижения на техническия прогрес, но и да са съобразени с разходите, необходими за прилагането им. Въвеждането на кодекси за поведение и сертифициране към оторизирани институции може да служи като доказателство за спазване на заложените в регламента стандарти за сигурност.

Уведомяване за нарушения в сигурността

Нарушение на сигурността на данни възниква, когато данните, за които една организация отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта.

Регламентът задължава всички администратори на лични данни да уведомят надзорния орган (в България – КЗЛД) за нарушения в сигурността на данните. До влизането в сила на GDPR такова задължение съществуваше само за телекомуникационния сектор. Това изискване се прилага както при пробиви от външен източник (например хакерска атака), така и при разкриване на данни в резултат на грешка или действие на вътрешен потребител. Това задължение е значително по-широко от предвиденото в много от щатите в САЩ уведомяване при разкриване на данни, което може да доведе до измама или кражба на идентичност (например финансова информация). Нещо. повече. Администраторът е задължен да уведоми надзорния орган “без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него”. В случай че уведомлението е извършено след 72-рия час, трябва да се посочи основателна причина за неспазването на срока. 72-часовият срок тече от момента, в който компанията узнае за пробива в сигурността. Това е логично, тъй като хакерските атаки могат да траят месеци преди компанията да ги засече. Доказването на момента на узнаване също е в тежест на администратора. Не подлежат на уведомяване случаи, при които няма риск за правата на физическите лица по отношение на обработваните техни лични данни.