office:  0886669939  08 938 7777 2

                                      Изтеглете теста на български език —->  тест за лични данни

                                      Фирмена адекватност при обработка на лични данни 

Какво е необходимо за да се приложи Европейският Регламент за обработка на личните данни, който влиза в сила на 25 май 2018, е нужно да се изготви и актуализира мониторинг на обработката на лични данни, която включва естеството на данните, целта на обработката, вида ѝ (електронен, хартиен), използваните ресурси за нея (хардуеър, софтуеър), евентуалните засегнати трети страни, т.н.

РИСКОВ АНАЛИЗ

В процеса на изграждане на Системата за обработка на личните данни, анализа на риска, засягащ данните е от първа необходимост. Той е базиран на оценка на нивото на изложеността им и следва да се предприети нужните мерки за сигурност, гаранция и разполагаемост на данните.

Затова трябва да бъдат описани главните потенциално вредни събития за сигурността на данни и да се оцени възможните последствия и щети, във връзка със съответната физическа среда, както и с електронните способи, използвани за обработката им.

Тази дейност не се изчерпва само с правилното прилагане на Новия регламент за личните данни, който налага на Собственика на фирмата да приведе до минимум, със съответните превантивни мерки за сигурност: рискът на унищожение и загуба (било и по невнимание) на личните данни; не оторизираният достъп до тях; непозволената или незаконосъобразна обработка, целяща събирането на лични данни, която е съществена част от оперативния континуитет (Business Continuity) и опазването на фирмената база с лични данни.

Възможните рискове, касаещи личните данни (пряко или косвено, отнасящи се до начина им на обработка) са многобройни и поради това са трудни за категоризиране.

Гарантът за Защита на Личните данни предлага следния списък на рискови събития:

1) Действия на работещите с лични данни:

– изземване на оторизиращи данни за достъп;

– недостиг на осъзнаване, невнимание, немарливост;

– некоректно, измамно поведение;

– материална грешка.

2) Събития, отнасящи се до способа на съхранение:

– Вирус в електронната система и програми, изложени на риск;

– Спам и саботиращи техники;

– неизправност, грешки при опит за достъп или нефункционалност на способите;

– Не оторизиран външен достъп;

– присвояване на информация от мрежата.

3) Събития, отнасящи се до физическата среда:

– не оторизиран достъп до помещения с ограничен достъп;

– изземване на способи, съдържащи лични данни;

– събития на естествено или изкуствено унищожаване, (земетресение, мълнии, пожар, наводнение, околна среда, т.н.), както и унищожаване от човешки фактор, включващ невнимание или небрежност;

– Повреда на сградната инсталация (електрическа, климатизационна, т.н.);

– човешка грешка при поддържане на физическата среда.

Как действа Рисковият анализ?

За рисковият анализ се използва методология на качеството, която е удачна за установяване на справянето с рисковете в присъствие на съответни норми, определящи минимално ниво на сигурност (Кодекс за зашита на личните данни). Дейността предвижда проверка на нивото на изпълнение на мерките за сигурност на физическата, логичната, организационната среда.

За събиране на полезни данни за изпълнение на анализа, се прави разпит на хората във фирмата, отговорни за боравене с личните данни (Длъжностното лице за личните данни и/или на обработката им, Длъжностното лице за информационната система и/или Мениджъра по сигурността, Ръководителят на персонала, Техническият ръководител).

Остатъчният риск бива пресметнат, като се има предвид степента на рискът  (пресмята се чрез сбора на вероятността на случване на дадено събитие, което застрашава сигурността на личните данни, умножена по вредата от него) и нужните мерки за премахването му.

За да се изгради Ефикасна система на обработване на лични данни, нужно е такъв анализ да се извършва с честота, пропорционална на нивото на критичност на защита на личните данни и на технологичните нововъведения.

В заключителния доклад, освен резултата от Рисковия анализ, посочваме логичните, физически и организационни мерки за предприемане, с цел защита на личните данни във фирмата Ви.

За по- сложното естество на работа при дадени фирми, съветваме Рисковият анализ да бъде придружен с Оценяване на уязвимостта (Vulnerability Assessment) на информационните системи и мрежи: Рисковият анализ и Оценяването на уязвимостта са взаимно допълващи се дейности.

НУЖНИ МЕРКИ

Резултатът от рисковия анализ доставя, както вече споменахме, насоки към нужните мерки за изпълнение. В това число, не само на минималните мерки, удачни за защита на личните данни по смисъла на Новия европейски регламент, но и мерките за защита на всички онези данни, оценени като критични и неприкосновени за фирмата. Важно е при описването на мерките, да се приложи и план за въвеждането им.