General Data Protection Regulation (GDPR)

GDPR (General Data Protection Regulation) Основна регулация за защита на данните

Основна цел на GDPR тук е да върне контрола на европейските граждани върху личните им данни и да опрости регулаторната рамка, използвана от всички бизнеси, като замени настоящата директива 95/46/EC от 1995 г.

Регулацията беше одобрена на 27 април 2016 г. и влиза в сила на 25 май 2018 г. след двугодишен преходен период без да се налага местните законодателни органи и правителства на страните членки на създават собствено законодателство за целта.

Регламентът за защита данните на ЕС (GDPR) установява принципи за сигурност на личните данни, подобни на тези в текущата директива, сред които са: честност, законност и прозрачност; ограничения според целите; минимизиране на данните; качество на данните; сигурност, интегритет и конфиденциалност.

Трябва да гарантирате, че
личните данни

Регламентът за защита данните на ЕС (GDPR) определя лични данни като „означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице“.





се обработват по начин, който осигурява сигурност, включително защита от неоторизирана или незаконна обработка, както и срещу случайна загуба, унищожение или увреждане.

Регламентът препоръчва няколко мерки за сигурност, които могат да бъдат използвани за защита на данните, сред които: псевдонимизация и критпиране на личните данни; възможността за гарантиране на непрекъснатата конфиденциалност, интегритет, достъпност и гъвкавост на системите и услугите, обработващи лични данни; възможността за навременно възстановяване на достъпа до лични данни в случай на физически или технически инцидент; въвеждането на процес за регулярен тест и оценка на ефективността на техническите и организационни мерки за гарантирането на сигурността на обработката на лични данни.

Регламентът за защита данните на ЕС (GDPR) определя криптирането като подход, който може да гарантира съвместимост с голяма част от изискванията на рамката. Част от тях са:

Член 29 – Сигурност на обработването

“1.   …като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица,
администраторът

Администратор е физическо или юридическо лице, което определя целите и средствата за обработка на лични данни. Регламентът дефинира администраторът като: компететният орган, който сам или съвместно с други органи определят целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или правото на държавата членка“.





и
обработващият лични данни

Oбработващият лични данни e лице, което обработва данни от името на администратора..
GDPR дефинира обработващият лични данни като „физическо или юридическо лице, публичен орган, агенция или друга структура, пред която личните данни се разкриват законосъобразно от компетентния орган“. Администратор е физическо или юридическо лице, което самостоятелно или колективно определя целите и средствата за обработването на лични данни..





да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност…: (60) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да прилага мерки за ограничаване на тези рискове, например криптиране.  […]”

Член 31 – Съобщаване на субекта на данните за нарушение на сигурността на личните данни

“3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия: (a)cадминистраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;