Част 8: Необходимите мерки за защита са съобразно риска

-
Тук е мястото да се извърши и преценката за риска от евентуално нарушаване правата на субектите на личните данни при изтичане, унищожаване или каквото и да било друго неправомерно въздействие върху наличната за тях информация. За повечето малки предприятия той ще е нисък.
 
Според ЗИД на закона "риск е функция от вероятността дадена заплаха да се превърне в потенциална уязвимост и резултатно въздействие от неблагоприятното събитие върху организацията". Преведено на човешки език, това безумно чиновническо клише ще рече, че трябва да прецените какъв е рискът от неправомерно изтичане, разкриване или изтриване на събраните данни и как то ще се отрази на субекта на данните и на фирмата. А оттам - какви мерки за предотвратяване на такова неправомерно въздействие сте взели до момента, дали те са подходящи и има ли нужда да търсите допълнителни защити.

Администраторът има задължението да осигури подходящо ниво на сигурност съобразно степента на риска.  

Непроменената все още Наредба №1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни може да служи за ориентир  за определяне на адекватното ниво на техническите и организационни мерки, които администраторът трябва да предприеме за защита на данните, които обработва. Тя също ще бъде променена, но в момента чрез нея можете да придобиете реална представа за това какви минимални мерки за сигурност се приемат за задължителни при четирите нива на въздействие върху данните, които тя въвежда: "ниско", "средно", "високо" и "изключително високо". 

Съобразно нивата на въздействие се определят и нивата на защита, които също са ниско, средно, високо и изключително високо. Както и конкретните мерки за защита на данните, които е задължително да предприеме конкретната фирма.

Администраторът има задължението да предприеме два вида мерки: организационни и технически.  Те се взимат съобразно нивото на защита, което е определено при анализа - ако е ниско, то никой няма да очаква от него да направи инвестиции за милиони, за да си купи техника-последен писък на модата и да поддържа физическа охрана до всяко бюро на счетоводителка или служителка в отдел ТРЗ. Прави се това, което е необходимо и достатъчно, за да бъдат чуждите данни защитени. 
 
Организационните мерки представляват определяне например на зони с контролиран достъп и специални помещения, в които се съхраняват масивите с личните данни, организиране на физически контрол, определяне на длъжностните лица, които ще имат достъп до данните, периодично обучение на персонала и т.н.

Техническите мерки започват с елементарни предпазни средства като заключващи се шкафове, метални врати, каси, оборудване със системи за контрол или система за сигурност, поставяне на пожарогасителни средства, охрана - персонална или друга, и достигат до сложните защити на автоматизираните информационни системи или криптографирането и псевдомизацията на данните.  

Впрочем, псевдомизацията се въвежда изрично в регламента като способ за защита на данните. Това означава обработването им по такъв начин, че да не могат повече да бъдат свързвани с конкретен субект, без да се използва допълнителна информация, като тази допълнителна информация трябва да се съхранява отделно и да е предмет на отделни технически и организационни мерки по защита. 

И пак да повторим: всичките тези правила, управленски решения за прилагането им, конкретните предприети мерки за защита, трябва да се документират. Те са част от политиката на фирмата за защита на данните, с която служителите трябва задължително да са запознати. Вътрешнофирмени правила по отношение на защитата на данните трябва да са налице във всяка една фирма. Защото при една евентуална проверка от КЗЛД ще се искат документи - както на хартиен, така и на електронен носител. А тежестта на доказване, че е направил всички тези преценки своевременно и че е предприел необходимите марки за защита, лежи върху администратора.

Коментари

Публикуване на коментар

Популярни публикации от този блог

КЗЛД: Кога не се иска съгласие от субекта на данните

-
Изображение
В последно време сме свидетели на засилено искане на съгласие за събиране и обработване на лични данни на граждани при предоставянето на различни видове услуги. В КЗЛД ежедневно постъпват сигнали и въпроси относно необходимостта да се иска и дава съгласие. Не трябва да се забравя, че както лесно е дадено, така лесно съгласието може да бъде оттеглено, поради което обработването на лични данни само въз основа на съгласие не винаги е най-удачен избор и е добре да се направи преценка дали не е налице друго правно основание. Във връзка с повишения обществен интерес и явната значимост на този въпрос, КЗЛД изготви информационен материал относно случаите, в които администраторите / обработващите лични данни не следва да изискват съгласие от физическите лица, за да събират и обработват техни лични данни. Съгласието е едно от основанията за събиране и обработване на лични данни. Независимо от факта, че то е посочено на първо място, важно е да се знае, че всички правни основания са алтернат...
Прочетете още

Част 3. Кой е администратор, кой - обработващ и трябва ли да има длъжностно лице за защита на данните?

-
Изображение
Администраторът - това е всяко физическо или юридическо лице, държавен орган или орган на местната власт, агенция или друга структура, която самостоятелно определя целите и средствата за обработването на лични данни в хода на своята дейност или бизнес. Това, което трябва да се знае е, че занапред администраторите няма да се регистрират в Комисията за защита на личните данни - това задължение отпада, а сега съществуващите регистри на администраторите вече няма да се поддържат. Но всеки, който борави с лични данни /а това са на практика всички фирми - най-малкото заради личните данни на служителите си/, ще има задължения по този регламент. Администраторът - физическото или юридическо лице, сдружение, структура и др., носи отговорността за спазването на правилата за защита на личните данни. То ще понесе и тежестта на санкцията, ако ги наруши. Освен това тежестта на доказване, че изискванията на закона са спазени, тежи върху администратора - при проверка от...
Прочетете още

Част 4: Кой е длъжен да назначи специален служител по данните?

-
Изображение
Първо трябва да изясним кой има задължението да назначи такова длъжностно лице. Според регламента администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато са публични органи или структури, когато основната им дейност се състои в обработването на лични данни и това обработване е редовно, систематично и мащабно, както и когато обработват "специални данни" - за присъди и нарушения, за здравословно състояние и др. В предложението за промени в българския Закон за защита на личните данни /ЗЗЛД/ обаче е записано, че администраторът или обработващият лични данни ще е длъжен да назначи длъжностно лице по защита на данните винаги, когато обработва данните на повече от 10 000 физически лица.
Прочетете още