F.A.Q.

GDPR

Какво е GDPR?

През месец май 2016 г. Европейският съюз въведе задължителния регламент (ЕС) 2016/679 General Data Protection Regulation (GDPR).
Новият регламент на ЕС задава редица нови насоки, които засягат всички организации, администриращи или контролиращи обработката на лични данни. Регламентът ще се прилага ефективно след 25 май 2018 г, като времето до тогава е дадено на компаниите и държавните учреждения да въведат всички изисквания с единната рамка, налагана от GDPR.

Защо се въвежда регламента? 

  • С цел подобряване управлението на данни
  • С цел подобряване на оперирането с данни
  • С цел подобряване на практиките за управление на доставчиците на данни
  • С цел въвеждане на технически и организационни мерки за достъп до личните данни и цялостното им управление от индивида
  • С цел въвеждане на технически и организационни мерки за сигурност и защита на данните до нивата на риск, подходящи за индивида
  • С цел въвеждане на защита на човешките права в механизмите за съответствие в технологиите за обработка на данни
  • С цел определяне на независими длъжностни лица по защита на данните в организациите, контролиращи и обработващи данни

Какъв е крайния срок за въвеждане?

Крайният срок, в който всички трябва да сте въвели съответните мерки е: 25.05.2018г.

Има ли санкции при неспазване на регламента?

Санкциите до сега са в диапазона 1 000 – 100 000 лева.

Санкции след 25 май 2018 г. се променят. Максималният размер е до 20 000 000 EUR или до 4 %от общия годишен световен оборот на организацията за предходната финансова година, като се взема предвид по-голямата сума.

Как да покрием изискванията на този задължителен регламент?

Основните етапи при GDPR, които можем да обобщим и изпълним за Вас, са:

Стъпка #1: Запознаване с регламента

Стъпка #2: Анализ и планиране – gap analysis, privacy impact assessment, оценка на риска, консултиране, планиране на необходимите технологични мерки

Стъпка #3: Имплементация

Какви са основните новости за компаниите?

  • Уведомяване при компрометиране – в срок до 72 часа от установено нарушение в сигурността на личните данни, организацията трябва да уведоми компетентните органи.
  • Право на достъп – при поискване организациите трябва да предоставят по електронен път информация за личните данни, които обработват и съхраняват за даден човек
  • Правото да бъдеш забравен – дава на гражданите право да поискат изтриване на личните си данни от определени организации, както и да бъде прекратено по-нататъшното им разпространение
  • Преносимост на данни – дава право на гражданите да поискат личните данни, които са предоставили, да им бъдат предоставени в машинно-читаем вид.
  • Privacy by Design – организациите са длъжни да включват мерки за защита на данните още в самото начало на въвеждане на нови системи. Личните данни, които се събират, не трябва да надвишават необходимите данни за извършване на своите задължения.
  • Data Protection Officer – въвеждане на нова роля в организации, чиито основни дейности изискват работа с големи количества лични данни, която да отговаря за вътрешните правила за съхранение на данни и спазването на регулацията
  • Изрично съгласие за предоставяне на лични данни

Какво е GAP анализ?

GAP анализът e всъщност одит на текущото състояние, с които установяваме доколко съществуващите технологични и организационни мерки покриват изискванията на GDRP.
Конкретни анализи и оценки трябва да бъдат извършени в областта на:

  • Организация и отчетност при обработка използване на лични данни
  • Степен на централизация на защита на данни
  • Нива на защита на данни
  • Нива на съгласуваност на данни
  • Механизми за известяване при компрометиране на данни
  • Действие при международни трансфери на данни
  • Роли и отговорности по защита на данни
  • Общо ниво на съответствие с GDPR

Какво включва още анализа и планирането?

След GAP анализа, нашите експерти консултират въвеждането и имплементирането на организационни и технически мерки и процеси.
В зависимост от нуждите на съответната организация, този етап може да включва разработване и внедряване на процеси и процедури по отстраняване на несъответствия при:

  • Дефинирането на необходимите промени в бизнес процесите по обработка на данни
  • Подготовката за извършване на промени в ИТ средата за обработка на данни
  • Определянето на подходящи контролни механизми при работа с данни
  • Разработването на усъвършенствани механизми за отчетност и известяване

Използваме редица автоматизирани средства за Privacy Impact Assessment. Правим оценка на риска и консултации за непрекъсваемост на процесите, във внедряването и поддръжката на редица решения като Next Generation Firewall, DLP, PKI, Two-factor authentication, криптиране, Application Control, Access Control, File & Data Transfer и много други, както on-premise, така и Cloud-базирани.

Какво включва имплементацията?

Ние ще ви бъдем полезни и за този етап, при:

  • Дефиниране – създаване и/или актуализиране на вътрешни правила
  • Разработване – проверка на извършените промени в ИТ средата и масивите от данни, бизнес процесите, вътрешните контроли, организацията на работата и отчетността
  • Внедряване – тестване на създадените правила и направените разработки
  • Провеждане на вътрешен одит – обща проверка на съответствието с изискванията на GDPR

Ние предоставяме на клиентите си услуги по обучение на DPO и екипи които са пряко въвлечени в темата GDPR в организацията, както и провеждане на практически учения на персонала за работа при инциденти и кризи.

В какви срокове се случва въвеждането на всички етапи?

Времето за проверка и въвеждане на технологичните процеси може да варира в зависимост от различни фактори като нивото на вече съществуващите процеси, обема на организацията и др.
Ние съветваме всички да стартират тази процедура възможно най-бързо, защото може да отнеме и повече от 6-8 месеца, а прилагането на регламента влиза в сила тази пролет.

Трябва ли да се определи служител в компанията, който да управлява процеса?

С GDPR се въвежда задължение за определяне на служител по сигурността на данните (DPO). Почти всички публични органи и структури ще трябва да определят такъв служител. Това ще трябва да направят тези администратори, които извършват редовно мащабно обработване на различни категории лични данни. Например, в корпоративния сектор, това ще трябва да направят всички финансови организации, телекоми и др.

Нямате правен отдел?

Работим с водещи правни компании, за да можем да предложим максимално цялостно решение на компаниите, които нямат правни отдели, за да могат да подсигурят тази част от изискванията на GDPR.

Започнаха ли компаниите в България да се подготвят за въвеждането на GDPR?

Последните няколко месеца се забелязва силно раздвижване по темата в корпоративния сектор в България. Отчитаме засилен интерес към процеса по въвеждането на GDPR регулацията в различните компании.

Свържете се с нас за повече информация!