Kои са най-съществените новости в сферата на личните данни?
За промените в нормативната уредба, наложените санкции и провеждането на тренировки на персонала вижте какво споделя Георги Средков, управляващ съдружник в ICO Bulgaria
Кои са новите моменти в нормативната уредба след приемането на измененията в Закона за защита на личните данни; какви стъпки трябва да предприемат компаниите; какво представляват тренировките на персонала и какво трябва да включва планът за непрекъснатост на сигурността на информацията? С тези и други въпроси се обърнахме към Георги Средков, управляващ съдружник в ICO Bulgaria. Г-н Средков също така е CISO и GDPR Data Protection officer във Виваком и има над 25 години опит в банковата сфера и информационните технологии, от които над 13 години като директор. Вижте какво сподели той пред екипа на Economy.bg:
Кои са новостите в сферата на личните данни и какви нарушения, станаха повод за налагане на санкции през последните 9 месеца? Вижте какво сподели Георги Средков пред Economy.bg.
Почти 9 месеца изминаха, откакто ОРЗД започна да се прилага. По Ваши впечатления кои са най-съществените новости в сферата на личните данни? Досега по обясними причини липсваше практика. КЗЛД постепенно започна да разяснява принципни положения. Комисията за защита на личните данни имаше няколко повода да се произнесе относно различията между различните роли Администратор, Обработващ и Съвместни администратори. Вече, например, за компаниите е ясно, че куриерските фирми и Multisport в общия случай не са обработващ, а администратор на данни. КЗЛД прие списък на видовете операции по обработване на лични данни, за които се изисква извършване на оценка за въздействие върху защитата на данните. Тук влизат обработки на чувствителни данни, като генетични, биометрични данни, данни за местоположение с цел профилиране, обработване на лични данни на деца, миграция на данни към нови технологии и други. Вече има практика по налагане на санкция от надзорните органи в различните държави от ЕС. На 26 февруари 2019 г. в бр. 17 на Държавен вестник бе обнародван Законът за изменение и допълнение на Закона за защита на личните данни, приет от 44-то Народно събрание на 24 януари 2019 г., повторно приет на 20 февруари 2019 г. Там особено интересно е въвеждането на 6-месечен срок за съхранение на кандидатури при липса на допълнително съгласие. Ако нямаме съгласие, трябва да унищожим съответните лични данни или да ги анонимизираме, ако искаме да ги ползваме за статистически цели.
От кога започва да тече 6-месечният срок за съхраняване на кандидатурите при липса на допълнително съгласие? От момента на тяхното получаване.
За подготовката на компаниите да покрият изискванията на ОРЗД, вижте какво сподели Георги Средков пред Economy.bg.
Какви нарушения станаха повод за налагане на съществени санкции през тези 9 месеца? Постъпи информация в медиите за наложена глоба от 50 млн. евро на Гугъл от френския регулатор (CNIL). Основание бе, че предоставената от Гугъл информация не е лесно достъпна и прозрачна за потребителите. Важна информация като тази за целите на обработване, периодите на съхранение и категориите данни, използвани за предоставяне на персонализирана реклама, е разпокъсана. Необходими са 5-6 действия от страна на потребителя, за да събере цялата информация. Целите на обработване са описани прекалено общо и неясно. Освен това за потребителите е трудно да се ориентират, че основанието за обработването по отношение на рекламите е съгласие, а не легитимен интерес. За някои данни не е посочено колко време се съхраняват. Комисията констатира, че съгласието за обработване на лични данни за реклама не е свободно дадено, защото не е достатъчно конкретно информирано, освен това съгласието не е специфично и недвузначно. Потребителите трябва да кликнат на „Повече опции” и освен това съгласието за рекламите е предварително маркирано, т.е. нарушено е правилото „Privacy by default“. Преди създаване на акаунт потребителите трябва да посочат, че са съгласни с всички условията на Гугъл. Но това е едно съгласие за всички условия и не отговаря на изискванията на GDPR.
Можете ли да дадете и друг пример? 400 хил. евро глоба бе наложена на болницата в Барейро, тъй като неоторизирани служители и немедицински лица са имали достъп до медицински данни на пациенти без тяхното съгласие и без законово основание. Общо са наложени две глоби за нарушаване на принципа за прозрачност, конфиденциалност и минимизиране на данните и една за неадекватни мерки за сигурност. Нарушението е извършено посредством тестови акаунт с профил на служител поддръжка, който въпреки това е имал достъп до медицинските данни. Съществували са 986 акаунта лекари, въпреки че в болницата работят близо 300. Сред препоръките на Португалския регулатор са да бъдат приети ясни писмени процедури, които определят достъпа до информация, боравеното с пароли, задължението за смяна на паролите на определен интервал и приемането на технически процедури, които да задължават въвеждане отново на потребителско име и парола след определен период на неактивност.
Каква е ситуацията в България? В България регистъра на наложените санкции в КЗЛД не е публичен и може би заради това има усещането за успокояване по темата. Въпреки това и тук, в България са наложени солени глоби на няколко големи компании за петцифрени суми.
По думите на г-н Средков, необходими са преглед, поддържане и осъвременяване на:
1.програмата за обучение, повишаване на знанията и изграждане на отговорно самосъзнание;
2.програмите, политиките, правилата и процедурите, свързани с риска за информационната сигурност и риска от трети страни;
3.програмата за управление на нарушенията, свързани с личните данни;
4.предупредителните уведомления за физическите лица в съответствие с политиката за неприкосновеност на данните, законовите изисквания, както и допустимия толеранс на оперативния риск;
5.процедурите и регистрите за запитвания и жалби, свързани със защитата на личните данни. Поддържане на ефективни процедури за взаимодействие с физически лица относно техните лични данни.
След големите усилия, които компаниите положиха миналата година, за да съответстват на изискванията на GDPR, какви стъпки е добре да предприемат сега? Както знаем, Регламентът няма заварено положение, има период на подготовка и привеждане в съответствие, на интегриране на защитата на личните данни в оперативната дейност на компанията, но това не е константа, бизнесът се променя, дейността се променя. Още в процеса на възникване на нови дейности е необходимо да се извърши инвентаризация на данните и процесите и привеждането им в съответствие с Регламента. Тук именно трябва да се прилагат механизмите на „Privacy by default“ и „Privacy by design“. За някои нови дейности трябва да се направи и оценка на риска и оценка на въздействието. Периодично следва да се оценяват за адекватност прилаганите контроли за сигурност.
Какво представлява тренировката на персонала за реакция при събития, застрашаващи сигурността на данните? Вижте какво сподели Георги Средков пред Economy.bg.
Споменахте, че КЗЛД прие списък на дейностите, за които задължително трябва Оценка на въздействието. Една от тях е осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни. Какво се има предвид тук под „нови технологии”? Живеем в много динамичен свят. В свят, в който технологиите напредват и се глобализират. Вече информацията, която се събира за нас и се обобщава най-вече в т. нар Big Data със съответните елементи на изкуствен интелект, може да послужи за прогнозиране на нашия избор и бъдещи действия. Това реално изисква при въвеждането на нови технологии и събирането на данни да се наложи някакъв контрол.
Насоки за съдържанието на Плана за непрекъснатост на сигурността на информацията, споделени от г-н Средков:
Да се опише последователността от действия на дежурния персонал и на ключовите служители в обекта;
Да се планират средства за комуникация при неблагоприятен случай;
Да се опишат начините, по които ще се уведомят служителите и клиентите за възникнал неблагоприятен случай и за напредъка по възстановяване на системите или услугите, в които те са заинтересована страна;
Да се предвидят мерки, гарантиращи защита и сигурност на служителите на Организацията;
Да се предвидят мерки, гарантиращи защита и сигурност за съоръжения и услуги – например да се предвиди престоя на охранителната фирма, които да осигурят защита на съоръженията. Това може да бъде заложено по договор. Може да се посочи клауза от конкретен договор, която се задейства в случай на неблагоприятно събитие;
Да се състави списък на ключовите служители за функциониране на процесите от Системата за управление на сигурността на информацията с име, фамилия и данни за контакт – мобилен и стационарен телефон, имейл. Списъкът може да е приложение към Плана за непрекъснатост на сигурността на информацията.
Да се състави списък на основните приоритетни дейности, които трябва да бъдат възстановени преди останалите. Списъкът може да е приложение към Плана за непрекъснатост на сигурността на информацията.
Много компании са предвидили като организационна мярка за защита тренировка на персонала за реакция при събития, застрашаващи сигурността на данните. В какво се изразява тази тренировка? Сигурността на личните данни не се отличава много от сигурността на информацията. Сигурността на информацията представлява защита на информацията и информационните системи от неоторизиран достъп, използване, разкриване, промяна, прочитане, запис и унищожаване. Опазване на конфиденциалността, целостта и наличността на информацията. Често използван механизъм за защита и контрол, например, е криптирането на идентифициращата информация от останалата и разделено опазване на ключа.
Тренировката на персонала е част от един основен елемент - Непрекъснатост на сигурността на информацията, което пък е неизменна съставна част от системите за управление на непрекъснатостта на дейността. Тук важно е да се обърне внимание на приложимите стандарти: БДС EN ISO/IEC 27000:2017 “Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията” БДС EN ISO 22301:2015 “Системи за управление на непрекъснатостта на дейността - Изисквания”
През какви етапи преминава планирането на тази тренировка? Основно изискване за постигане на сигурност на информацията и непрекъснатост на нейното управление е разработването на План за непрекъснатост на сигурността на информацията, който посочва как да продължи дейността при конкретни неблагоприятни случаи. Изготвянето на плана е жизненоважна стъпка, която трябва да се предприеме в процеса по осигуряване непрекъснатост на сигурността на информацията. Той гарантира, че Организацията би могла да продължи дейността си в случай на неблагоприятно събитие от всякакъв характер.
Колко често се актуализира този план? Планът за непрекъснатост на сигурността на информацията е постоянен и се актуализира, ако настъпят промени. Трябва да се тества минимум веднъж годишно, както и след всяка актуализация.
Как може да бъде ограничен рискът от неправомерен достъп, осъществен от служител? Вижте какво сподели Георги Средков пред Economy.bg.
Какво още е важно да се знае за него? Той трябва да е одобрен от висшето ръководство на Организацията. Трябва да има ниво на класификация, като минимум за вътрешна употреба. Извършените тестове се документират в Протокол от Тест на План за непрекъснатост на сигурността на информацията, които също трябва да са с ниво на класификация за вътрешна употреба. Планът трябва да съдържа комуникационни точки и указания за действията на персонала при отпадане на инфраструктурни компоненти от критично значение – мрежи, сървъри, електроподаване и други.
Личните данни добавят още едно ниво на защита към информационната сигурност. Често са ми задавали въпроса - когато нашите системни администратори имат пълен достъп до информацията, защото това ги касае пряко, как бих могъл да защитя личните данни? Един от примерите, които давам, е следният: може идентифициращата информация, тази, която пряко или косвено от един или повече източници идентифицира субекта, да бъде криптирана и ключът да бъде разпределен между други служители, извън кръга на системните администратори. На практика те ще имат административен достъп, но няма да могат да разчетат тези данни, тъй като ключът се намира на друго място.
Като цяло се прилагат правилата за защита на информацията, т.е. тук имаме трите основни стълба - конфиденциалност, интегритет и наличност. Изключително важно е да се тестват резервните копия, тъй като технологиите се променят. Самите носители се повреждат, дали от климатични условия, дали от магнитни полета в зависимост от носителя, но ние трябва да можем да разчитаме на тези резервни копия. Срещал съм компании, които са записвали информацията надлежно на ленти, но тези ленти не могат да се прочетат или защото са били съхранявани достатъчно дълго време, без да бъдат тествани, или защото самите устройства, на които са били записвани, вече не са в употреба.
Бих споделил и някои насоки за осигуряване на Непрекъснатост на сигурността на информацията:
Да се поддържа списък (или база данни) с всички клиенти, Възложители, доставчици и външни страни, включително застрахователи и този списък да се актуализира редовно;
Да се поддържа алтернативна експлоатационна база в готовност за работа. Тя трябва да е достатъчно далече от основната база на Организацията.
Да се утвърди План за непрекъснатост на сигурността на информацията
Да се следва изготвеният План при неблагоприятни случаи
По възможност да се предвиди възможност за работа от вкъщи най-малко за ключовите служители
Да се поддържа Опис на активите винаги актуален. По него да се проверява коя част от инфраструктурата липсва.
Да се резервират данни редовно и цялостно. Резервните копия да се тестват.
Носителите на резервните копия трябва да се съхраняват на място, различно от оригинала на данните. Достъпът до тях трябва да е предварително оторизиран за определени длъжности.
Със сухопътния Шенген стоките ще пътуват по-бързо и с по-малко администрация, разходите за бизнеса ще са по-ниски, а хората ще получават по-свежи продукти – Вигинтас Шапокас, управител на BILLA България, пред Economy.bg