Despre noi         Contact

  • GDPR

GDPR: ce este, când se aplică și ce măsuri trebuie aplicate pentru a fi pregătiți.

Dacă ați urmărit știrile despre securitate și protecția datelor, sau poate ați primit informații pe e-mail despre GDPR (Regulamentul general privind protecția datelor); probabil vă întrebați ce mai vrea UE de la noi? Mai ales că termenul de aplicare, la nivel UE este 25 mai 2018.

 

Regulamentul a fost elaborat pentru a spori încrederea consumatorilor în serviciile online și în comerțul electronic, făcând ca protecția informațiilor personale să fie un drept fundamental pentru cetățenii UE.

Nucleul GDPR este o mai mare transparență și control asupra datelor dumneavoastră atunci când sunt colectate și după ce au fost colectate. O interpretare pozitivă a GDPR este că organizațiile pot câștiga încrederea consumatorilor, oferindu-le un sentiment de securitate că datele lor sunt stocate și protejate în mod corespunzător.

În ciuda acestei perspective pozitive  asupra principiilor care stau la baza GDPR, este de asemenea clar că acest nou regulament va afecta orice companie care desfășoară activități în UE sau doar colectează date despre cetățenii UE. Dacă credeți că GDPR ar putea fi limitat la întreprinderile cu sediul în UE, vă înșelați.

GDPR se aplică global, de fapt, tuturor organizațiilor care doresc să facă afaceri sau să monitorizeze comportamentul persoanelor din Uniunea Europeană, indiferent unde se află sediul organizației sau unde stochează și procesează aceste date.

Dacă colectați date despre cetățenii UE, sunteți supus GDPR. Rețineți că GDPR este într-adevăr succesorul Directivei UE privind protecția datelor, așa că este privit, parțial, pe baza îmbunătățirii standardelor existente.

GDPR nu reprezintă doar o extindere a domeniului de aplicare al Directivei UE privind protecția datelor. Este, de asemenea, un regulament mult mai strict în general, inclusiv sancțiuni mai severe pentru nerespectarea. Cele mai grave cazuri de nerespectare pot aduce amenzi până la maximum 4% din veniturile globale ale companiei sau 20 de milioane de euro, oricare dintre ele este cea mai mare sumă. Aceste consecințe trebuie să fie, în mod clar, consecințe. În plus față de amenzile extinse, GDPR introduce:

  • Notificarea obligatorie de încălcare. Organizațiile care au o încălcare a securității având ca rezultat expunerea unor date de identificare personală vor trebui să raporteze incidente autorității desemnate pentru protecția datelor în termen de 72 de ore de la identificarea încălcării
  • Ofițerii desemnați în domeniul protecției datelor cu cunoștințe de specialitate privind legile privind protecția datelor. Rolul acestora trebuie să fie independent, autonom și să aibă o linie directă de raportare către conducerea superioară.

Există și alte cerințe pe care le prevede GDPR, dar o detaliere a GDPR presupune o prezentarea detaliată, care necesită timp.

Dacă vă întrebați "Ce produse trebuie să cumpăr pentru a fi conform?", atunci este timpul să faceți o analiză serioasă asupra organizației dumneavoastră și să apelați la specialiști care vă pot oferi suport. Nu puteți obține conformitatea cu GDPR doar achiziționând și implementând o mulțime de produse de securitate.

Regulamentul este formulat în mod deliberat ca fiind neutru din punct de vedere tehnologic și protejat în viitor, ceea ce este corect, dat fiind modul în care se schimbă securitatea datelor și a datelor în timp. Cu toate acestea, este posibil să se stabilească o interpretare inițială a ceea ce trebuie să facă organizațiile din punctul de vedere al securității informațiilor pentru conformare. Cheia pentru securitatea datelor este expresia "măsuri adecvate". Controlorii de date trebuie să pună în aplicare "măsuri adecvate" pentru a asigura confidențialitatea și integritatea sistemelor lor de prelucrare și a informațiilor pe care le dețin. Aceasta include:

  • Aplicarea de controale critice de securitate pentru detectarea, gestionarea și atenuarea adecvată a oricăror vulnerabilități ale mediului de procesare a datelor.
  • Configurarea sistemelor în conformitate cu o politică organizației și menținerea acestei configurații.
  • Identificarea sistematică a sistemelor care se abat de la politica stabilită.
  • Monitorizare continuă a fișierele jurnal pentru a vă avertiza asupra eventualelor încălcări sau vulnerabilități potențiale.
  • Menținerea capacității de a detecta, de a răspunde și de a remedia eventualele incidente în mod eficient
  • Serviciile de cloud să fie asigurate cu măsuri suplimentare de securitate.

Din punctul meu de vedere, prin intermediul GDPR se solicită organizațiilor să dețină sau/și să definească strategii de securitate. Sistemele interne de control, monitorizare și procesele organizației vor trebuie să respecte standardele și framework-urile din domeniul securității informației ca și ISO 27001, NIST Cybersecurity Framework sau CIS Critical Controls.

Poate vă surpinde că GDPR impune utilizarea standardele pe care industria le-a stabilit deja. Nu este vorba de faptul că punerea în aplicare a acestor standarde este ușoară sau ieftină, dar acest lucru indică în mod clar în direcția celor mai bune practici.

Prin aceasta, revenim la aspectul prezentului regulament cu care întreprinderile sunt cele mai afectate: amenzi. Evident, evitarea unei încălcări și punerea în aplicare a proceselor și controalelor necesare este esențială pentru evitarea amenzilor, dar este rezonabil să se susțină că nu toate încălcările pot fi evitate.

De asemenea, dacă sunteți interesat să aflați mai multe despre pregătirea Regulamentului General privind Protecția Datelor, ne puteți contacta.

O scurtă listă de întrebări, al căror răspuns vă va arăta cum este pregătită organizația dumneavoastră este prezentată mai jos:

Politică

Element

Răspuns

Responsabilitate

Există o persoană desemnată (preferabil dinTop Management) cu respectarea și implementarea politicii de protecție a datelor?

Organizația a alocat o persoană ca fiind DPO (responsabil cu protecția datelor) conform GDPR

 

Angajament personal

Întreg personalul a luat la cunoștință și și-a asumat respectarea politicii de protecția a datelor?

 

Conștientizare personal

Toți utilizatori care procesează date au fost pregătiți cu privire la protecția datelor și sunt capabili să identifice și să trateze eventualele amenințări?

 

Politică de securitatea a calculatoarelor

Există o procedură de securitatea (bine documentată) asociată cu proceduri operaționale, asumată de managementul organizației?

 

Confidențialitate (NDA)

Top managementul organizației autorizează accesul la date confidențiale, unor terțe părți doar după semnarea unui NDA?

 

Audituri

Elementele de securizare a organizație, ca firewall și routere, sunt testate periodic pentru vulnerabilități? Calculatoarele sunt verificate pentru a nu avea instalate aplicații ilegale?

 

Plan de tratare a riscurilor

Există o politică de testarea a vulnerabilităților, stabilirea clară a rolurilor și responsabilităților, pentru a vă asigură că organizația poate răspunde oricărei breșe de securitate ca de exemplu atacuri cu malware, fraudă, atacuri fizice, efracție, vandalism sau dezastre naturale

 

Parole

Există o politică de management a parolelor?  Parolele default ale producătorilor au fost schimbate?

 

Update / patch software

Există o politică  de verificarea a patch-urilor de securitate?

 

Protecția datelor

Sistemele și bazele de date care stochează date cu caracter personal sunt conforme cu legislația de protecția a datelor cu caracter personal la nivel național și GDPR?

 

Securitatea rețelelor externe

Conexiunile externe de date (ca de exemplu accesul la internet) sunt autorizate de top management, documentate și securizate cu firewall și sisteme de detecție a intruziunilor (IDS)?

 

Antivirus

Întreaga rețea de date este protejată de antivirus cu update la zi? Toți utilizatorii sunt pregătiți cum să identifice și să trateze un fișier suspect?

 

Monitorizare conținut

Aveți sisteme de monitorizare a conținutului e-mail-urilor și a traficului de date, cu scopul de a proteja organizația de viruși, SPAM sau orice  litigii care pot apărea datorită conținutului documentelor.

 

Monitorizare

Echipamentele de securitate sunt monitorizate activ pentru a detecta eventuale breșe de securitate?

 

Securitate fizică

Echipamentele critice de securitate IT, ca de exemplu servere, file servere, sunt protejate pentru a nu avea acces la ele personal neautorizat?

 

Un răspuns incomplet sau negativ la oricare dintre elementele de mai sus înseamnă că trebuie să remediați acea zonă de risc.

Detalii despre GDPR le găsiți pe http://www.eugdpr.org/.

NEWSLETTER

Înscrieți-vă la newsletter-ul nostru pentru a fi la curent cu cele mai recente știri și evenimente.

Abonare

Contact

    SC INTERCLOUD SRL

Timisoara, Jud. Timis, România

Str. Martir Ioan Stanciu nr. 9b

Tel. 0723 189 063
Tel. 0722 206 855
e-mail: contact@protectia-datelor.ro