office:  088 666 9939 – 088 675 1052

Pегулация на личнитeданни: възможност или бреме ?

    Изтеглете теста на български език —->  тест за лични данни

Високият риск от неправомерно изтичане на данни е стимул за компаниите да инвестират в подобрения на сигурността. Често пъти обаче данни изтичат в резултат на грешка (публикуване на данни по невнимание) или действия на вътрешен потребител. Новият Общ регламент за защита на личните данни отчете значението на тези въпроси, като въведе изисквания към мерките за сигурност на данните и задължи администраторите да уведомяват надзорния орган и засегнатите лица в случай на пробив.

Мерки за сигурност Компаниите трябва да предприемат подходящи мерки за защита на личните данни, които зависят от вида и обема на обработваните данни, целите на обработването и евентуалните рискове за физическите лица. Мерките, например псевдонимизация и криптиране на данни, трябва да съответстват на съвременните достижения на техническия прогрес, но и да са съобразени с разходите, необходими за прилагането им. Въвеждането на кодекси за поведение по индустрии и сертифициране към оторизирани институции може да служи като доказателство за спазване на заложените в регламента стандарти за сигурност.

Уведомяване за нарушения в сигурността Регламентът задължава всички администратори на лични данни да уведомят надзорния орган (в България – КЗЛД) за нарушения в сигурността на данните. Досега такова задължение съществуваше само за телекомуникационния сектор. То се прилага както при пробиви от външен източник (хакерска атака), така и при разкриване на данни в резултат на грешка или действие на вътрешен потребител. Това задължение е значително по-широко от предвиденото в много от щатите в САЩ уведомяване при разкриване на данни, което може да доведе до измама или кражба на идентичност (например финансова информация). Срок Администраторът е задължен да уведоми надзорния орган “без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него”. В случай че уведомлението е извършено след 72-рия час, трябва да се посочи основателна причина за неспазването на срока. 72-часовият срок тече от момента, в който компанията узнае за пробива в сигурността. Това е логично, тъй като хакерските атаки могат да траят месеци преди компанията да ги засече. Доказването на момента на узнаване също е в тежест на администратора. Не подлежат на уведомяване случаи, при които няма риск за физическите лица. Към момента няма допълнителни указания какви случаи биха попаднали в тази категория, което поражда несигурност за бизнеса и риск от санкция в случай на неправилно тълкуване. Дружества, които обработват лични данни от името на друго лице (при предоставяне на счетоводни услуги например), нямат самостоятелно задължение за уведомяване на надзорния орган. Те следва да уведомят възложителя на услугата, който на свой ред е длъжен да уведоми КЗЛД и засегнатите лица.