4. 1 Защита на Физически Лица
Защита на физ. лица във връзка с обработването на лични данни.
Защита на основни права и свободи на физическите лица.
2 Минимални изисквания за сигурност
Внедряване на технически и организационни мерки за защита
Защита на информацията по време на проектиране и внедряване
3 Движение на лични данни
Свободното движение на лични данни в рамките на Съюза
Контролиране и ограничаване на териториалния обхват
Основни цели на регламента
5. 20141995 2016 2018
EU Directive on Privacy and Electronic Communications (2002/58/EC)
Регулация за лични данни
Това не е първата регулация за защита на лични данни
2000
EU Data Protection Directive (95/46/EC)
2006
The Data Retention Directive 2006/24/EC
Directive 2009/136/EC for electronic communications providers
2009
Проектиране на GDPR
24 май GDPR е приет
25 май GDPR влиза в сила
7. Регулаторни промени
По-широк
териториален обхват
Големи санкции и наказания
(към момента глобата е 5000лв)
Основания за обработване
на лични данни
Внедряване на допълнителни
организационни и техн. мерки
GDPR категории лични
данни
Увеличаване на
правата на субекта
Увеличаване на задълженията на
Администратора и Обработващия
1
2
3
4
5
6
7
ц
ц
8
9
10
11
12
13
Длъжностно лице по
защита на данните
Докладване на
инциденти
Поверителност по подразбиране
или при проектиране.
Преносимост на
данните
Трансфериране на ЛД
към трети лица
Отпада регистрационния режим за
администратори на лични данни
8. Всеки трансфер на лични данни собственост
на европейски гражданин извън рамките на
Европа се контролира и осъществява след
разрешение.
Държавни спогодби
Регулаторни изисквания
Други гаранции
Трансферът на лични данни се контролира
GDPRRequirements
1 По-широк териториален обхват
Личните Данни на
Европейските
граждани са защитени
US EU
Asia
BR
9. Настоящия закон
предвижда глоби в
общия случай до
5000лв.
Тази глоба покрива ли
всички претърпени
щети за субекта?
Към момента в случай на
изтичане на информация
за лични данни на
физически лица
организациите потулват и
потърпевши остават
субектите.
Глоби за нарушения
При
нарушения
глобите могат
да достигнат
10 милиона
евро.
?
10 мил.
Не, при
сериозни
нарушения
стигат до 20
милиона евро.
20 мил.
Глобата е до
2% от оборота
на
дружеството /
организацията
.
До 2%
Глобата може
да надмине 20
милиона ако
4% от оборота
е повече.
До 4%
2 Големи санкции и наказания
GDPRRequirements
10. GDPR
В изпълнение на изискванията на
определен закон, администраторът
може да съхранява и обработва
лични данни.
Законово Основание
При наличие на сключен
договор между Администратора
и субекта на лични данни.
Писмен Договор
Свободно изразено, конкретно, информирано
и недвусмислено съгласие да се обработват
личните данни.
Администраторът да докаже даденото съгласие
Отказът от даване на съгласие да не носи негативни последствия
Оттеглянето да е също толкова лесно колкото даването
За деца под 16г. само съгласие от родител или настойник
Равнопоставеност между администратора и субекта на данни
Доказано Съгласие
3 Основания за обработване на ЛД
Requirements
11. GDPR4 GDPR категории лични данни
Requirements
Генетични данни
Биометрични данни
Раса, Етнос, Секс. живот
Политически, Здраве
Религиозни и Философски
СПЕЦИАЛНИ ДАННИ
Криминално Преследване
Данни за престъпления
(GDPR Чл.9)
КРИМИНАЛНИ ДАННИ
Име, ЛК, ЕГН, ЕИК, ПИК и др.
Персонални характеристики
Физически детайли
Правна Информация
Професионални тайни
ЧУСТВИТЕЛНИ ДАННИ
Данните, които по принцип
се считат за свързани с
увеличаване на възможния
риск за правата и свободите на
физическите лица
ДОМАШНИ ДЕЙНОСТИ
Електронна комуникация
Данни за локация
Финансова информация
УВЕЛИЧЕН РИСК
12. GDPR
Какви са правата ми
свързани с моите
лични данни?
5 Увеличаване правата на субекта
Requirements
Информираност
Право на достъп
Право за промяна
Право за забравяне
Ограничение на обработването
Преносимост
Възражения
Право на отказ от профилиране
Право за преглед на логиката при автоматични решения
и право на човешка намеса
Права на субекта
ПРАВАТА МИ
13. GDPR6 Задължения на администратора
Requirements
Обработването на лични данни да е
Законно, добронамерено и прозрачно
Законно обработване
Обработване на минимално необходими
данни нужни за целите на процеса
Минимизиране на лични данни
Може да се обработват само за целта за
която субекта е дал своето съгласие
Само за целите на съгласието
Администраторът не може да съхранява
лични данни за по-голям период от целта
на обработването
Ограничаване на съхранението
Администраторът е длъжен да положи
необходимите мерки за постигане на
наличност на данните
Наличност на съхранението
Съхраняваните данни трябва да са
актуални, верни и точни
Точност на данните
Администраторът трябва да внедри
необходими организационни мерки за да
осигури цялостност и поверителност
Цялост и поверителност
Задължения свързани с мониторинг,
докладване на инциденти и уведомяване
на субекти
Отчетност
14. GDPR7 Организационни и технически мерки
Requirements
1 2 3
0
4
Внедряване на
технически
решения
Организационни мерки Технически мерки
Контрол на достъпа
Класификация и категоризация
Съхранение и задържане
Управление на риска
Оценяване на въздействието
Управление на промените
Управление на инциденти
Одит и регулярни проверки
BCP и възстановяване
Обучение и Осведоменост
* Трансфериране на Данни
* Разработка на софтуер
* Разработка на сигурен код
* Преглед на разработен код
Като допълнение :
повече от 30 процедури
повече от 30 формуляра
Политики
Базирано на
оценката на риска
Планиране
Изготвяне на
политики
Измерване и
проследяване
Технически решения
Криптиране на данни
Анонимизиране на данни
Маскиране на данни
Следене на потребители
Анализиране на събития
Решение за възстановяване
Инспектиране на трафик
Защита от изтичане (DLP)
Защита на електронна поща
Защита на крайни устройства
Защита на локална мрежа
Защита от зловреден код
Управление на одитни записи
Ежедневен мониторинг на
събития по сигурността
Докладване :
в рамките на 72 часа
всички субекти
15. Ежедневен мониторинг на сигурността на
личните данни
Съветник за рисковете свързани с
обработването на лични данни
Редовно изпитване на процесите
Комуникация със субектите на данни
Комуникация със нац. орган
Регулярно обучение на
Регулярна оценка и управление на риска
Преценяване и оценка на ефективността
на техническите и организационните мерки
Всяко физическо лице, което има достъп
до лични данни, да обработва тези данни
само по указание на вътрешните правила
GDPR
ДПО
8 Длъжностно лице по защита на данните
Requirements
1
2
3
4
DPO
16. GDPR9 Докладване на инциденти
Requirements
Организациите трябва да са в
състояние да установяват и отговорят
на инциденти свързани с изтичането
лични данни
Инцидент с изтичане на лични данни
Анализ на ситуацияте и взимане на
решения за минимизиране на
въздействието.
Събиране на комитета по инциденти
В рамките на 72 от установяването
на инцидент с лични данни
Информиране на КЗЛД
Докладване на инцидента,
предприетите действия и поуката
Доклад до борда на директорите
Информиране на субекта и
изпращане на инструкции за
минимизиране на въздействието
Информиране на субекта
72 часа
17. Одитни
записи и Logs
Криптиране
минимизиране
Контрол на
достъпа
Проектна
документация
Контрол на
разработката
GDPR10 Поверителност по проект
Requirements
Разработеното решение
трябва да отговаря на всички
изисквания на регламента.
Краен продукт
18. GDPR11 Преносимост, трансфер, регистър
Requirements
12 13
Преносимост на данните
Субектът има право да
поиска пренос на инфорацията
Администраторът трябва да
предвиди механизми за
пренасяне на данните
Подходящ и достъпен
компютърен формат XML, CSV
Максимален срок 30 дена
Трансфериране към трети лица
Изрично съгласие на субекта
Международни спогодби
Трансфер в страни с
приложимо законодателство
За Америка Privacy Shield
Максимален срок 30 дена
Отпада регистрационния режим
До 25 май регистрационен
решим за администратори
След 25 май отпада
регистрационния решим
Администраторът е длъжен
да води регистър
Доказване на съотвтствие