Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Sign in to follow this  
Avatara

Регламент ЕС 2016/679 от 27 април 2016 г. - GDPR

Recommended Posts

През месец май 2018 год. бе приет Регламент ЕС 2016/679 от 27 април 2016 г. или GDPR — General Data Protection Regulation). Този регламент е задължителен за всички държави, членки на ЕС и заменя Директива 95/46/ЕС от 24 октомври 1995 год..

Един от най-важните аспекти при GDPR е екстериториалният принцип на действие на новите правила за обработка на личните данни. 
Това е една от причините, поради която българските юридически организации и неправителствените структури би следвало да се отнасят изключително внимателно към някои аспекти в своята дейност, свързани най-вече с техническата поддръжка.

Регламентът предоставя на резидентите в ЕС инструмент за пълен контрол над своите лични данни.
От месец май 2018 година юридическите лица носят жестока отговорност за нарушаване правилата за обработка на лични данни. Глобите по  GDPR могат да достигнат до 20 милиона EUR или 4% от годишния оборот на компаниите.

Независимо, че в момента юридически кантори и консултантски компании провеждат курсове за разясняване на правилата на GDPR, остават много въпроси, които биха могли да имат изключително тежки последствия както за юридическите така и за физическите лица. Основната причина за така възникналата опасност се дължи на факта, че превода на текстовете на Регламент ЕС 2016/679 е правен от лица без нужната техническа и правна компетентност.

Целта на настоящите разглеждания е да обясни на достъпен език какво би се случило ако чужда компания реши да заведе иск към българска фирма по смисъла на GDPR. Това е казус, който в момента не се дискутира, а именно той крие най-големи опасности. 

Нека първо да видим какво се крие зад дефиницията "Обработка на лични данни".

Ако трябва да бъда максимално прецизен това са следните дейности:

 - Събиране;
 - Запис; 
 - Систематизиране; 
 -  Натрупване (агрегиране на данни);
 - Съхранение;
 - Редактиране (промяна);
 - Съставяне на извлечения и отчети; 
 - Използване;
 - Пренос на данни  (разпространение, предоставяне на право на достъп и пр.);
 - Преобразуване;
 - Блокиране; 
 - Унищожаване на данни.

Ако някой извършва едно от гореизброените действия, значи той оперира с лични данни.

В текстовете на Регламент ЕС 2016/679, се среща терминът, цитирам: "МОНИТОРИНГ НА ПОВЕДЕНИЕТО НА СУБЕКТА, ОПЕРИРАЩ С ДАННИ".

Какво би следвало да се разбира под "мониторинг на поведението"?

Вариантите в този случай са два:

- Проследяване на резидента в intternet;
- Използване на методи за профилиране на данни.

Тук трябва да бъдем изключително внимателни, защото това ни отвежда към две други категории, както следва: Data Controller (DC) и Data Processor (DP). Обърнете внимание  на това, че използвам англоезичните термини, защото на български език няма да намерите точен аналог.


Съгласно регламентът юридическата отговорност се носи от лицето, което изпълнява функциите на Data Controller (DC).
От друга страна лицата, които са Data Processor (DP) се явяват потребители, т.е. субекти, които оперират с лични данни.
На практика имаме лица, които носят отговорност за операциите с лични данни и такива, които реално оперират с данните.

 

На практика тези, които реално оперират данните, не носят юридическа отговорност по смисъла на GDPR, независимо, че имат достъп и осъществяват действия с данните.

 

Как би следвало да бъде разбирано това?

Нека приемем, че Вие ръководите счетоводна кантора и се явявате Data Controller (DC).

На локален сървър, в офиса, който ползвате, се съхраняват данни за всички клиенти на Вашата кантора в т.ч. паспортни данни, информация за банкови сметки, адресна информация и др.. Някои от тези клиенти не са български граждани.

 

Ако във Вашата кантора работят няколко служители те се явяват Data Controller-и, тъй като в ежедневната си дейност те оперират с данните на клиентите.


Ако по някаква причина някой от тези служители напусне фирмата, но злоупотреби с предоставеният му достъп до личните данни на клиента (предостави тези данни на неоторизирани лица), отговорност за това носите Вие като ръководител, а не лицето извършило престъплението.


Ако бъдем обективни за пореден път инсайдерите са освободени от отговорност въз основа на нормативен акт.

Но по-страшно е, че ако това се случи всеки един от чуждите граждани, които обслужвате (дори да не са граждани на ЕС) има право да заведе съдебен иск срещу Вас, но не и срещу Вашия служител.

 

Този иск няма да бъде разглеждан в български съд, а ще постъпи в държавата, чиито гражданин е пострадалото лице (резидентът), с всички произтичащи от това последствия.

 

 

Това, че сте запознали резидентът, че обработвате неговите лични данни, не ви освобождава от наказателна отговорност.

 

Вие сте го информирали, но ако не сте взели технически мерки резидентът има пълно право да Ви осъди.

За съжаление подобни казуси вече са влезли в сила, като осъдените дори не са граждани на ЕС. 

Темата ще има продължение, защото има различни въпроси, на които тепърва ще се търсят отговори.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.