GDPR: НОВ РЕГЛАМЕНТ
за всички администратори
на лични данни!

СВАЛИ ТВОЯ НАРЪЧНИК
Какво е GDPR?

GDRP въвежда нови изисквания
за съхранение на личните данни на клиентите Ви

През май 2018 г. влиза в сила нов регламент на ЕС за защита на информацията.

Ако вие съхранявате каквито и да било данни за клиентите и партньорите си, трябва да се съобразите с изискванията му. Колкото по-рано стане това – толкова по-добре за вас. Този сайт е създаден, за да Ви помогне да разберете GDPR и изискванията на регламента, както и да предложи решение за покриването им. General Data Protection Regulation (или Общ регламент относно защитата на данните) ще засегне всяка организация в ЕС, която съхранява лични данни – и всеки един бизнес в рамките на ЕС. Изискванията са комплексни, а глобите за неспазването им – високи (до 4% от глобалния оборот на организацията или до 20 млн. евро).

Вие сте на правилното място – и може да се подготвите навреме за тях!

calendar due date GDPR

Вижте как новото европейско законодателство
ще повлияе на бизнеса Ви.

Вземете безплатен наръчник за съответствие с GDPR.

guide general data protection regulation

Онлайн проверка за съответствие

Отговаря ли бизнеса ви на новите изисквания за съхранение на лични данни на ЕС?

Съответствие с GDPR, стъпка по стъпка

Изискванията на ЕС за съхранение на лични данни, въведени с регламента за защита данните на ЕС (GDPR), са многопластови. За Ваше улеснение, може да видите целия процес, разделен на 3 групи от мерки, които трябва да вземете предвид. Всяка една група се състои от секции с по-детайлна информация. За да видите допълнителна информация за всяка стъпка – кликнете на заглавието ѝ.

+Накратко

Част от принципите, заложени в GDPR рамката са продължение на вече съществуващите изисквания в Директивата за защита на личните данни. Сред тях са: честност, законност и прозрачност; ограничение на целите; минимизиране на съхраняваната информация; качество на данните; сигурност, интегритет и конфиденциалност.

Регламентът рамка за защита на личните данни в ЕС (GDPR) установява нов принцип за отчетност като създава  администратори , отговорни за придържането към принципите за защита на информацията. Регламентът осъвременява и вече съществуващите принципи за защита на личните данни, като добавя към тях:

Законосъобразност, честност и прозрачност – Личните данни трябва да бъдат обработвани по прозрачен начин що се касае до субекта.

Ограничаване на целта – С някои уговорки, архивиране на лични данни, които е в интерес на обществото, няма да се счита за несъвместимо с целите оригинални обработка.

Съхранение –Личните данни трябва да бъдат съхранявани във формат, който идентификацията на  субекти на данни  за период не по-дълъг от необходимото за целите, за които личните данни са събрани.

Отчетност – Администраторът на лична информация вече е отговорен и трябва да може да демонстрира спазването на принципните, заложени в регламента.

+Организационни изисквания

Според регламент за защита данните на ЕС (GDPR) трябва да имплементирате редица мерки, за да намалите риска от изтичането на информация. Сред тях са: оценяване на степента на важност на личните данни, одити, прегледи на политики, записи на дейността и (потенциално) – назначаване на служител по защита на данните.

Регламентът за защита данните на ЕС (GDPR) въвежда изискването определени типове организации да назначат Служител по защита на данните (Data Privacy Officer). Организациите трябва да разполагат с подобна позиция или като член от персонала, или под формата на външен консултант. 

Ако се занимавате с маркетинг и разполагате с големи бази данни с потребителска информация, най-вероятно ще трябва да разполагате с подобна позиция в организацията си. Националните власти, отговарящи за защитата на личните данни ще трябва да предоставят точни критерии за изискванията, на които трябва да отговарят подобни служители.

Вашият служител по защита на данните ще отговарят за съобразността с изискванията на регламента, ще консултира въвеждането на нови такива и ще консултира кога и как трябва да бъде осъществено оценяване на степента на важност на личните данни. Той ще бъде и лицето за контакт с националните органи за защита на личните данни. 

Концепцията за отчетност на едно място позволява на организация, която развива дейност в няколко държави членки на ЕС да работят само с един надзорен орган за защита на личните данни , въпреки че правилата за определянето на това кой надзорен орган трябва да поеме тази роля и как ще бъдат обработвани жалби са сложни в определени случаи.

+Процеси, процедури и политики

Според новият регламент за защита данните на ЕС, нарушение на сигурността на лични данни е

GDPR предефинира нарушението на сигурността на лични данни като “нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”.

Това определение е по-общо от настоящото и не взима предвид дали нарушението на сигурността може да причини вреда на индивида. Ако станете жертва на нарушение на сигурността на личните данни, трябва да уведомите националния надзорен орган (за България това е Комисията за защита на личните данни) веднага или не по-късно от 72 часа след откриването на пробива. 

Въпреки това, нямате задължение да уведомявате физически или юридически лица, ако изпълнявате необходимите технически и организационни мерки за защита на личните данни, като криптиране на информацията.

Важна част от спазването на изискванията на новата регламента е защитата на личните данни да бъде в основата на всичко – или с други думи, в основата на създаването на всеки един нов продукт или процес трябва бъде заложена сигурността на личните данни. Този подход, който досега бе считан за добра практика, вече е изискване.

Оценката на въздействието върху защитата на данните идентифицира и минимизира рисковете от неспазването на изисквания.

Регламентът рамка превръща тези оценка в правно изискване; по-конкретно, администратор трябва да гарантира, че подобна оценка е била извършена преди началото на всяка обработка, която носи “висок риск”.

Ако бизнесът ви оперира на международно ниво, правилата и процесите ви за трансфер на информация извън страна-членка на ЕС ще бъдат значителна пречка, тъй като наказанията за неспазване на изискванията при трансфер на лични данни или трансфер на данни към непризнати (от ЕК) с достатъчно ниво на сигурност юрисдикции ще бъдат много по-сурови според новия регламент.

+Осведоменост за сигурността на информацията

Сега е моментът да започнете да обяснявате необходимостта от съответствие с регламента за защита данните на ЕС на служителите си. Може да започнете да планирате и ревизиране на процедурите си, за да отговорите на изискванията на GDPR за прозрачност и подсигуряване на индивидуални права. Това може да окаже значителен финансов, IТ и обучителен ефект.

+Отчетност - технически мерки

Регламентът за защита данните на ЕС (GDPR) превръща  администраторите в отговорни за демонстрирането на съответствие с принципите за защита на личните данни. Затова, трябва да имате ясни политики, с които да докажете, че спазвате стандартите чрез регулярно наблюдение, обновяване и оценка на процедурите ви за работа с личните данни. Освен това, служителите ви трябва да получи необходимото ниво на обучение и да разбира напълно задълженията и отговорностите си – и да бъде готов да демонстрира това по всяко време пред националния надзорен орган.

+Нарушение на сигурността на личните данни – технически мерки

Подгответе се за нарушения на сигурността на личните данни (дефинирани като “нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”) като създадете ясни политики и тествани процедури, с които да гарантирате, че може да реагирате адекватно и да уведомите за всяко нарушение на сигурността, когато това се изисква.

Невъзможността да съобщите за нарушение на сигурността в случаите, в които това е задължително, може да доведе до санкции – както за пробива, така и за липсата на адекватно уведомление.

+Гарантирайте правата на субектите на данни - технически

Регламентът за защита на личните данни в ЕС (GDPR) подсилва правата на субектите на данни , като (например) добавя правото за изискване на информация за обработваните лични данни за субекта, достъпа до данни в определени обстоятелства и коригирането на грешна информация.

Една от основните цели на регламента за защита данните на ЕС (GDPR) е да гарантира правата на физическите лица. Затова правилата за достъп на потребителите до обработваните данни ще се променят, а вие ще трябва да осъвремените процедурите си на работа, за да отразите това. 

В повечето случаи, няма да може изисквате заплащане за осъществяването на промените, а срокът за отговор ще бъде намален на месец вместо 40 дни в момента.

Правото да бъдете забравени (‘изтриване’ в терминологията на регламента за защита данните на ЕС (GDPR)) позволява на физическите лица да изискат от вашия  администратор да изтрие личните им данни, без правото на неоправдано забавяне в определени ситуации, като, например, случаите, в които има проблем с основанието на законността на обработката или при оттегляне на съгласие за предоставяне на достъп до данни.

Третите страни, с които споделяте данните на физически лица, трябва също да се съобразяват с тези правила. 

Регламентът за защита данните на ЕС (GDPR) определя профилирането като “всяка форма на автоматизирано обработване на лични данни, изразяващо се в използване на лични данни за оценяване на някои лични аспекти, свързани с дадено физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение”; все пак, съществува определено ниво на неяснота за това как да бъдат прилагани правата на субектите на данни да не бъдат част от вземането на решения на база профилиране.

Регламентът за защита данните на ЕС (GDPR) въвежда ново право за преносимост на данните, което надгражда сегашните права на физическите лица да изискат от вас предоставянето на информация в широко разпространени електронни формати. Новите изисквания са администраторът да предоставя информация в структуриран, широко разпространен и електронно-обработваем формат. 

Това правило има своите ограничения – например, то касае само личните данни, обработвани автоматизирано.

Като част от усилията си да увеличи правата на физическите лица, Европейската комисия предоставя правото за ограничаване на различни видове обработка и правото за възразяване личните данни да бъдат обработвани за целите на директен маркетинг, включително за профилиране с цел директен маркетинг.

След подаване на възражение от лице, данните му не трябва да бъдат обработвани с цел директен маркетинг и то трябва да бъде добавено във вътрешен файл за забрана.

Организациите трябва да информират лицата за техните права да възразят за обработката на личните данни по начин, който е недвусмислен и отделен от друга информация, която трябва да предоставят на лицата.

+Комуникация на информация относно поверителността (съгласия, съобщения при обработка)

Може да се наложи да преразгледате начина, по който искате, придобивате и записвате съгласие; съгласието от страна на субекта  на данни за обработка на лична информация трябва да бъде давано и оттегляно еднакво лесно и трябва да представлява позитивно изказване за даване на съгласие за обработка на лични данни – то не може да бъде давано чрез бездействие, предварително селектирани полета или липса на изявление от потребителя.

Като част от усилията си в посока на увеличаване правата на гражданите, Европейската комисия дава правото за ограничаване на определена обработка и правото за възразяване за обработката на лични данни за целите на директен маркетинг, включително и за профилиране с цел директен маркетинг.

След подаването на възражение от страна на субект, данните му не трябва повече да бъдат обработвани за цели на директен маркетинг и контактната му информация трябва да бъде добавена във вътрешен за организацията забранителен списък. Организациите трябва да информират субектите за правата им да възразят срещу обработката на личните им данни по начин, който е недвусмислен и отделен от друга информация, която трябва да бъде предоставена.

Регламентът за защита данните на ЕС (GDPR) най-вероятно ще увеличи обхвата на информацията, която трябва да бъде предоставяне на  субектите на данни . Например, правното ви основание да обработвате лична информация, периодът за съхранение на информацията от организацията Ви и правото за подаване на оплакване до националния надзорен орган в случай, че субектът прецени, че има проблем с начина, по който обработвате личните му данни. Трябва да имате предвид, че регламентът за защита данните на ЕС (GDPR) изисква тази информация да бъде представяна сбито и с ясен език.

+Сигурност на информацията (интегритет и конфиденциалност)

Регламентът за защита данните на ЕС (GDPR) установява принципи за сигурност на личните данни, подобни на тези в текущата директива, сред които са: честност, законност и прозрачност; ограничения според целите; минимизиране на данните; качество на данните; сигурност, интегритет и конфиденциалност.

Трябва да гарантирате, че личните данни се обработват по начин, който гарантира сигурност, включително защита от неоторизирана или незаконна обработка, както и срещу случайна загуба, унищожение или увреждане.

Регламентът препоръчва няколко мерки за сигурност, които могат да бъдат използвани за защита на данните, сред които: псевдонимизация и критпиране на личните данни; възможността за гарантиране на непрекъснатата конфиденциалност, интегритет, достъпност и гъвкавост на на системите и услугите, обработващи лични данни; възможността за навременно възстановяване на достъпа до лични данни в случай на физически или технически инцидент; въвеждането на процес за регулярен тест и оценка на ефективността на техническите и организационни мерки за гарантирането на сигурността на обработката на лични данни.

Регламентът за защита данните на ЕС (GDPR) определя криптирането като подход, който може да гарантира съвместимост с голяма част от изискванията на рамката. Част от тях са:

Член 29 – Сигурност на обработването

“1.   …като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът  и обработващият лични данни да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност…: (60) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да прилага мерки за ограничаване на тези рискове, например криптиране.  […]”

Член 31 – Съобщаване на субекта на данните за нарушение на сигурността на личните данни

“3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия: (a)cадминистраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

+Документация, правни основания и одит

Трябва да документирате какви лични данни съхранявате, откъде са дошли те и с кого ги споделяте. 

Ако разполагате с неточни лични данни и сте ги споделили с други организации, регламентът за защита данните на ЕС (GDPR) изисква да уведомите другите организации за неточностите, за да могат те да ги коригират в собствените си информационни масиви. Осъществяването на това може да изисква одит на информацията в цялата ви организация или в определени сегменти на дейността ѝ. Това ще ви помогне за съвместимостта с принципа за отчетност на GDPR.

Според Регламента за защита данните на ЕС (GDPR) трябва да осъществите проверка как обработвате лични данни и да идентифицирате правното основание, на база на което можете да извършвате и документирате тези процеси. 

Това е необходимо, тъй като правата на някои субекти може да бъдат променени от GDPR в зависимост от правните ви основания да обработвате лични данни. Такъв пример са хората, които ще имат повече права да изискат изтриването на личните им данни в случай, че използвате даването на съгласие като правно основание за обработка. Съгласието е само един от няколко различни начина за легитимирането на обработката на лични данни и може да не е най-добрият такъв (тъй като може да бъде оттеглено).

Информацията, представена на този сайт, не представлява правно мнение или консултация и потребителите не трябва да разчитат на достоверността ѝ, когато взимат финансови или бизнес решения. decisions. ESET и Хай Компютърс ЕООД не могат да бъдат държани отговорни за резултатите, произлезли от подобни действия. Винаги търсете независими правни съвети.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Криптирането е решение

Какво е криптиране?

Криптирането е процесът на кодиране на информацията по начин, който предотвратява достъпа на неоторизирани лица до нея.

ДЪЛЖИНА НА КЛЮЧА И СИЛА НА КРИПТИРАНЕ

Най-често силата на криптиране се равнява на дължината на ключа (в битове) и използвани алгоритъм за криптиране. Най-лесният начин за преодоляване на криптирането е изпробването на всички възможни ключове. Този метод е познат като brute-force атака, но въвеждането на по-дълги ключове превърна този метод в неефективен.

За успешното осъществяване на brute-force атака на 128-битов AES ключ, всеки един от всички 7 млрд. жителя на Земята ще трябва да проверява 1 млрд. ключа за секунда в продължение на 1.5 трлн. години, за може да се тестват всички възможности.

Поради тази причина, атакуващите обикновено избягват brute-force метода. Вместо това, те се опитват да открият уязвимости в софтуера за криптиране – или се опитват да заразят системата със зловреден код, за да откраднат пароли или декриптиращия ключ при работа с тях.

За да сведете рисковете до минимум, използвайте сигурен продукт за криптиране и доказано ефективно решение за антивирусна защита. 

Как работи?

Криптирането (най-често) работи по два начина:

Криптиране на устройството за съхранение на данни – най-често този метод се използва за криптиране на цели дискове или устройства.

Той е ефективен след спирането на системата, спиране на използване на устройството за съхранение на данни или блокиране на криптиращия ключ.

Криптиране на съдържание или грануларно криптиране – обикновено означа криптиране на файлове или текст на ниво приложение.

Най-честият пример за това е криптирането на имейл, при което форматът на съобщението остава непроменен, за да може имейл приложението да работи с него, но съдържанието на съобщението и всички прикачени към него файлове са криптирани.

eset data encryption example

Как да избера софтуер за криптиране?

Да, дължината на ключа и богатството на функции са важно. Но те не Ви казват колко
добре ще работи продукта от потребителска – или администраторска – гледна точка.

FIPS - 140 валидация

Най-широко разпространената независима система за валидация е стандартът FIPS-140.  Ако продуктът ви е валидиран по FIPS-140, то той може да гарантира защита в повече от минимално изискуемите от Регламента за защита данните на ЕС (GDPR) и други регулации ситуации.

Лекота на употреба за не-технически персонал

Винаги ще има ситуации, в които служителите ви ще трябва да вземат решение дали да криптират документ, имейл и др. За вас е важно дали ще могат да използват софтуера, предназначен за това и да бъдат сигурни, че криптирането на данни няма да навреди на собствените им устройства – или тези на получателите на данните.

Отдалечено управление на ключове, настройки и политики за сигурност

Ако не искате да карате служителите си да взимат решения, касаещи сигурността на данните, може да наложите криптиране навсякъде – но това ще ограничи бизнес процесите ви и ще намали производителността. Възможността за отдалечено управление – която позволява промяна на ключовете за криптиране, функционалността или настройките на политиките за сигурност дори и на служителите извън офиса (които са и най-рискови) – означава, че може да вдигнете летвата на сигурността, без да осакатявате производителността.

Управление на ключове за криптиране

Едно от най-големите предизвикателства е начинът, по който потребителите споделят криптирана информация. Обикновено това става по два начина:

Споделени пароли, което (обикновено) означава лесни за запомняне и несигурни или невъзможни за запомняне, но записани или забравени комбинации.

Криптиране с публичен ключ, което работи прекрасно при по-малки организации с минимално текучество на персонал, но е сложно и проблемно при по-големи или динамични екипи.

Използването на централизирани споделени ключове за криптиране позволява избягването на тези проблеми – с още едно предимство – възможността за копиране на начина, по който физическите ключове се използват за отключване на автомобили, апартаменти и т.н. Служителите ви вече знаят как работят физическите ключове – заотва въвеждането на подобна политика ще е по-лесно. В комбинация с възможността за отдалечено управление, споделените ключове за криптиране предлагат оптималния баланс от сигурност и продуктивност. 

Опитайте DESlock Encryption безплатно

Просто попълнете данните си за контакт и ще настроим пробна версия специално за вас, за да се възползвате максимално от предимствата ѝ.
След попълването на въпросника, представител на CENTIO Professional IT Security може да се свърже с вас.

Как можем да Ви помогнем

Нашето решение:
DESlock Encryption by ESET

Криптирането на личните данни, съхранявани на системите на организацията ви, може да помогне в покриването на голяма част от изискванията на Регламента за защита данните на ЕС (GDPR). Решението ни е мощно, лесно за инсталиране и конфигуриране и може да криптира както цели харддискове и флаш памети, така и отдели файлове и имейли. 

DEESlock Encryption позволява да покриете изискванията за сигурност данните като лесно налагате политики за криптиране – като същевременно запазите високата продуктивност на служителите.

Приложението изисква минимална интеракция от страна на потребителите и подобрява сигурността на бизнеса ви само с един MSI пакет, инсталиран на клиентските системи. Сървърното приложение улеснява управлението на потребителите в организацията ви и разширява покритието на защитата извън пределите на корпоративната мрежа.

Какво може
DESlock Encryption by ESET

Лесно за работа и мощно решение за криптиране за организации от всеки калибър, което криптира сигурно файлове на харддискове, флаш памети и дискове и изпратени по имейл

Сертификация: решение, валидирано по FIPS 140-2 с 256-битово AES криптиране за гарантирана сигурност

Сървър за управление, базиран на хибридна облачна технология за пълен контрол на криптиращите функции на потребителски устройства и налагане на политики за сигурност

Пълна поддържка на Microsoft® Windows® 10, 8, 8.1 включително UEFI и GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Алгоритми и стандарти: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – Ползите накратко

Пълно криптиране на диска
Бързо и прозрачно решение за криптиране преди старт на операционната система

Криптиране на флаш памети, CD и DVD
Криптиране на преносими памети, управляемо чрез задаване на политики

Outlook плъгин за мейли и прикачени файлове
Изпращайте и получавайте лесно криптирани имейли и пиркачени файлове чрез Outlook

Виртуални дикове и криптирани архиви
Създавайте сигурни криптирани части от диска на компютър или друга локация – или криптирани копия на цели директории и файловете в тях.

Криптиране на файлове и директории
Бързо и прозрчано, гарантиращо допълнително
ниво на сигурност

Криптиране на текст и клипборд
Криптиране на целия прозорец или част от него – браузъри, полета в бази данни или уеб-мейл приложения

Централизирано управление
Пълен контрол на лицензирането и функциите на софтуера, политиките за сигурност и криптиращите ключове.

DESlock+ Go критпиране на преносими устройства
Лесен за работа софтуер за инсталиране на нелицензирани системи

Опитайте DESlock Encryption безплатно

Просто попълнете данните си за контакт и ще настроим пробна версия специално за вас, за да се възползвате максимално от предимствата ѝ.
След попълването на въпросника, представител на CENTIO Professional IT Security може да се свърже с вас.

Здравейте! Уебсайтът ни, както много други, използва бисквитки, за да ви предоставим максимално адекватна информация и удобство на работа. Научете повече.

OK