GDPR – задължителният регламент

В последно време все по-често в бизнес средите се говори за GDPR. Какво е GDPR всъщност?

През месец май 2016 г. Европейският съюз въведе задължителния регламент (ЕС) 2016/679 General Data Protection Regulation (GDPR). Той покрива различните аспекти на боравенето с лични данни от страна на всички организации по света, които оперират с лични данни на граждани на ЕС. Регламентът ще се прилага ефективно след 25 май 2018 г, като времето до тогава е дадено на компаниите и държавните учреждения да въведат всички изисквания, които има единната рамка, налагана от GDPR. Общата цел на този регламент е да защити, както интересите на бизнеса, така и правата на гражданите. GDPR има за цел да улесни свободното движение на потоци от лични данни в ЕС и извън него, свързано с международна търговия и международното сътрудничество. Същевременно трябва да осигури механизми за защита от нарушаване на неприкосновеността на личните данни при използване на автоматизирани и други средства за обработката им. Санкциите до сега са в диапазона 1 000 – 100 000 лева, но след въвеждането на GDPR се променят драстично, като се определят за всеки конкретен случай. Максималният размер е до 20 000 000 EUR или до 5 % от общия годишен световен оборот на организацията за предходната финансова година, като се използва по-голямата сума. Какво означава това за компаниите? Това означава, че компаниите ще трябва да въведат определени единни правила и политики, които се отнасят за всички техни отдели, които боравят с лични данни. Някои от основните акценти, които могат да бъдат обособени са: териториалния обхват – регламента за защита на данните не е валиден само за EU, но и за региони, които обработват данни на европейски граждани; въвежда се задължение, без изключения, за искане на съгласие за обработка и съхранение на лични данни. Новост е "Правото да бъдеш забравен", което дава на гражданите право да поискат изтриване на личните си данни от определени организации, както и да бъде прекратено по-нататъшното им разпространение, като тук има нюанси в зависимост от изискванията на други закони за съхранение на информация и дали това заличаване би засегнало обществения интерес. Оформена е регулация на преносимостта на данните в машинно-разпознаваем вид и много други. Едно от ключовите въведения за всички компании, независимо от вида и размера им, е задължението за уведомяване на компетентния надзорен орган до 72 часа от установено нарушение в сигурността на личните данни, които те обработват.

Какво трябва да направи една компания, за да може да покрие изискванията на този задължителен регламент?

GDPR обхваща различни аспекти от дейностите на една организация. Основните изисквания трябва да бъдат покрити от правните и ИТ отделите на компаниите. Като цяло изискванията в посока на обезпечаването на информационната сигурност на ИТ системите са комплексни и обхващат политиките за информационна сигурност в дадената организация. С GDPR се въвежда задължение за определяне на служител по сигурността на данните (DPO). Почти всички публични органи и структури ще трябва да определят такъв служител. Това ще трябва да направят тези администратори, които извършват редовно мащабно обработване на различни категории лични данни. Например, в корпоративния сектор, това ще трябва да направят всички финансови организации, телекоми и др.

Ако можем да обобщим основните етапи, през които трябва да мине една компания, за да въведе технологичните изисквания на GDPR, те биха изглеждали по следния начин:

Първоначален GAP анализ , който показва доколко вече наличните технологични и организационни мерки покриват изискванията на GDRP.

Внедряване на организационни и технически мерки и процеси.

Въвеждане на механизми за мониторинг, откриване и рапортуване на изтичане на информация.

Обучение за служители по сигурността на данните и повишаване на осведомеността на персонала

Новост в сферата на личните данни е въвеждането от GDPR на възможност за сертифициране, валидно за целия ЕС. То няма задължителен характер, но дава възможност на компаниите да демонстрират спазване на регламента и ще им даде предимство при изграждането на доверие и имидж при техните клиенти. Всеки администратор на лични данни ще може да сертифицира своите процеси по обработване пред акредитирани за целта органи. Анализът за припокриването с други, съществуващи към момента, стандарти, показва че ISO27001 в най-голяма степен припокрива изискванията от GDPR.

Започнаха ли компаниите и институциите у нас да се подготвят за въвеждането на GDPR?

Последните няколко месеца се забелязва силно раздвижване по темата в корпоративния сектор в България. Повечето компании са в състояние на оценка на влиянието на GDPR към тяхната организация. Отчитаме засилен интерес към Penetration testing услугите ни, които показват какво е нивото на защита на дадената компания от външна намеса, чрез симулиране на различни видове, реални атаки. Имаме вече няколко клиенти, които се обърнаха към нас да подсигурим целия технологичен процес по въвеждането на GDPR регулацията в техните компании. Етапите, през които ще минем с тях, за да осъществим тази цел са няколко, в зависимост от спецификата на съответната компания. Първоначално извършваме GAP анализ или одит на текущото състояние, които да установят доколко съществуващите технологични и организационни мерки покриват изискванията на GDRP. За тази цел използваме редица автоматизирани средства за Privacy Impact Assessment. След това нашите експерти консултират въвеждането и имплементирането на организационни и технически мерки и процеси. В зависимост от нуждите на съответната организация, този етап може да включва разработване и внедряване на процеси и процедури, оценка на риска и консултации за непрекъсваемост на процесите, внедряване и поддръжка на редица решения като Next Generation Firewall, DLP, PKI, Two-factor authentication, криптиране, Application Control, Access Control, File & Data Transfer и много други, както on-premise, така и Cloud-базирани. За изискванията на GDPR за мониторинг, откриване и рапортуване на изтичане на информация извършваме услуги по penetration testing, които на практика представляват най-реалистичен тест на сигурността и защитата на данните. Имаме възможност и за аутсорсинг на наблюдение и рапортуване, както и внедряване на системи за мониторинг, SIEM и Vulnerability Management. Не бива да подценяваме и подминаваме и последния етап, свързан с обучението за служителите по сигурността на данните и повишаване на осведомеността на персонала, защото най-голямата част от пробивите в информационната сигурност на компаниите в световен мащаб, се дължи именно на недостатъчните знания на екипите. Ние предоставяме на клиентите си услуги по обучение на DPO и екипи които са пряко въвлечени в темата GDPR в организацията, както и провеждане на практически учения на персонала за работа при инциденти и кризи. Работим тясно и с водещи правни компании, за да можем да предложим максимално цялостно решение на компаниите, които нямат правни отдели, които да могат да подсигурят тази част от изискванията на GDPR.

В какви срокове се случва въвеждането на всички неща, които изброихте, за да може една компания да отговори на всички изисквания на регламента?

Крайният срок, в който всички трябва да са въвели съответните мерки е 25.05.2018г. Времето за проверка и въвеждане на технологичните процеси може да варира в зависимост от различни фактори като нивото на вече съществуващите процеси, обема на организацията и др. Ние съветваме всички да стартират тази процедура възможно най-бързо, защото може да отнеме и повече от 6-8 месеца, а прилагането на регламента влиза в сила следващата пролет.

Как може да ви помогнем?

„На първо място наши специалисти могат да осъществят първоначалния GAP анализ - т.е. доколко внедрените при вас технологични и организационни мерки покриват изискванията на GDRP. След това можем да ви посъветваме кои технологии ще намалят идентифицирания риск. Компанията може да предложи и мониторинг на сигурността, т.е. дали даден продукт или решение намалява риска, като услугата включва и т.нар. дигитално разследване и извличане на артефакти при настъпил проблем, което е важно при проверката на правоохранителните органи и решението дали фирмата трябва да бъде глобена или не. Освен това можем да предложим „под наем“ специалист по сигурността на информацията. Може да вмените тези задължения на колега или да назначите нов човек, но той трябва да има съответните компетенции, знания и практически опит по прилагането им, в противен случай все едно, че не разполагате с такъв.