Настоящият информационен материал има за цел да подпомогне практическото прилагане на Регламент(ЕС) 2016/679 (Общ регламент относно защитата на данните), като обобщава добри практики, откроени в рамките на надзорната дейност на КЗЛД от началото на прилагането на Регламента (25май 2018г.) и дава общи насоки, които да подпомогнат администраторите на лични данни при обработването на лични данни на физическите лица.
Добрите практики са систематизирани в четири основни тематични насоки: подходящи технически и организационни мерки за защита на данните, облачни технологии и услуги, видеонаблюдение и нарушения на сигурността на личните данни. Изборът на тези тематични направления е мотивиран, както от наличието на конкретни нормативни задължения в областта на защитата на личните данни за администраторите, така и от тяхната широка приложимост в практиката.
Информационният материал няма задължителен характер и не претендира за изчерпателност.
Увод
След започване на прилагането на Регламент(ЕС) 2016/679– 25май 2018г., администраторите на лични данни са задължени да осъществяват дейностите по обработване на лични данни на физически лица съгласно неговите разпоредби. Той въвежда редица задължения за администраторите и обработващи лични данни, като изисква те да приложат подходящи технически и организационни мерки за осигуряване на сигурност на данните. Изборът на конкретни технически и организационни мерки, които да са подходящи за конкретния контекст на обработване, зависи изцяло от администратора, който следва да отчита достиженията на техническия прогрес, разходите за прилагане, естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица.
Добри практики по отношение на предприети технически и организационни мерки за защита на данните
В хода на извършване на надзорната дейност на КЗЛД са констатирани следните добри практики по отношение на предприети технически и организационни мерки за защита за предотвратяване техническа уязвимост на информационните системи, на неразрешено разкриване, неправомерен достъп, отказ от услуги и загуба/изтриване/унищожаване на информация и бази данни, съдържащи лични данни на физически лица:
1. Изградена структура за защита на личните данни.
2. Към момента на проектирането, да се определят видовете потребители на информационните системи, с различни права за достъп (собственици на данни, разработчици, системни администратори, обикновени потребители, привилегировани потребители, бизнес анализатори, администратори на бази данни, администратори на приложенията и органи по сигурността на данните).
3. Утвърждаване на правила за отделните потребители, функционалните им задължения и процедурите за тяхната дейност.
4. Ясно разписани принципите на взаимодействие на отделните потребители.
5. Балансиране на системата за защита на данните, като функционалността на услугите да не бъде за сметка на необходимата защита при обработване на данните на физическите лица.
6. Отговорностите за информационната сигурност не са съсредоточени единствено в ИТ дирекцията.
7. Утвърдени правила и процедури за защита на личните данни, касаещи техническите и организационни мерки за защита на данните.
8. За всяка една от подържаните информационни системи са разработени правила за обработка на личните данни в тях.
9. Разработени правила/процедури, регламентиращи мерките за защита на различните категории лични данни, като цяло и съобразно техния вид и чувствителност (съобразно оценката на риска).
10. Определяне на конкретни срокове за съхранение на личните данни.
11. Утвърдени политики за формиране на профилите за достъп до приложенията (Privacy By Design), като са предвидени достатъчно рестриктивни мерки за достъп до базите данни.
12. Съхраняване на одитни записи на отделните събития и дневници (журнали) за привилегированите потребители.
13. Внедрена Система за управление на привилегиите на потребителите (Privileged Access Management, PAM), с оглед контрол, управление и наблюдение на привилегирован достъп до критични активи.
14. Внедрена Система за управление и анализ на събитията, отразени в дневниците (Security information and event management, SIEM), с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време на сигналите за сигурност, генерирани от мрежовия хардуер и приложения.
15. Утвърдена методика за управление на риска (идентификация на заплахите и оценка на риска), приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация и последваща периодичност за оценка на риска, съгласно чл.35 от Регламент(ЕС) 2016/679.
16. Извършване на анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система.
17. Извършване на оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки (съгласно одобрен и публикуван на интернет страницата на КЗЛД списък на по чл.35, §4 от Регламент(ЕС) 2016/679).
18. Разработени правила и процедури за оценка на въздействието при защита на данните при първоначално стартиране на нови информационни системи и приложения.
19. Разработени процедури за управление на риска при въвеждане на нови системи или промяна на вече съществуващи системи (Privacy By Design, Privacy By Redesign и Privacy By Default).
20. Операционните системи и СУБД се поддържат в актуални версии.
21. Използване на пароли на настройките за промяна в BIOS от потребителите, с оглед ограничаване на достъпа до информацията, заобикаляйки ограниченията на стандартната операционна система и ограничението за запис на информация върху външен носител и внедряване на зловредни програмни средства.
22. Защита на BIOS SETUP за сървърите и за работните станции.
23. Криптиране на критична информация.
24. Наличие на център за възстановяване работоспособността на системите в реално време (Disaster Recovery Center).
25. Утвърдени политики и правила относно:
25.1. Вътрешни правила, в които са разписани мерки за защита на личните данни по отношение на служителите– отговорности, задължения по Регламент(ЕС)2016/679 и ЗЗЛД, вкл. след прекратяване на трудовите правоотношения, с оглед предотвратяване на евентуална злоупотреба и/или кражба на информация и носители с лични данни.
25.2. Редовно и периодично обучение и тренировка на служителите за действия в случаи на незаконосъобразно обработване на лични данни.
25.3. Обработване на специални категории данни съгласно чл.9 от Регламент(ЕС) 2016/679;
25.4. Повторно използване на личните данни на субектите;
25.5. Предаване/приемане на материални активи;
25.6. Анонимизиране, архивиране и унищожаване на електронните данните, използвани еднократно (различни видове справки и заявки);
25.7. Обработване на лични данни на деца, повторното използване на такива данни;
25.8. Проследяващи механизми и Сookies (бисквитки), определяне срока за съхранение и задържане на данните;
25.9. Стратегия и политики за криптиране на данни от архивни или еднократни извършвани справки;
25.10. Изтриване/унищожаване на личните данни.
26. Редовна/периодична инвентаризация на компютърната техника и конфигурации, с оглед установяване наличие/липса на неправомерно записана информация и липса на хардуерни компоненти или монтирани неразрешени устройства.
27. Спазване на принципа за независимост на длъжностното лице по защита на данните (ДЛЗД).
28. Изготвени вътрешни документи, гарантиращи функциите, задълженията и прякото подчинение на ДЛЗД на ръководителя на структурата/организацията/дружеството.
29. Вписване в длъжностната характеристика на ДЛЗД на ясни правила и задължения за осъществяване на неговата дейност.
30. Утвърдена декларация за неразпространяване на информация от служителите и обработващите лични данни.
31. Включване в длъжностните характеристики на служителите задължения за обработване на лични данни на физически лица при изпълнение на конкретните им служебни задължения.
32. Сключване на нарочни договори при наемане на подизпълнители/обработващи лични данни, с ясни клаузи по отношение на права/задължения и спазване на Регламент(ЕС)2016/679 и ЗЗЛД.
33. Осъществяване на контрол по изпълнението на договори с изпълнители/подизпълнители, касаещи обработването на лични данни от тяхна страна.
Добри практики при използване на облачни технологии и услуги
1. Сключване на изрични/нарочни договори с доставчика на облачните услуги.
2. Утвърждаване на правила/процедури, които гарантират спазването на Регламент(ЕС) 2016/679 и ЗЗЛД при наемане на облачни услуги.
3. Извършване на анализ на риска при използването на външен доставчик, като при извършване на оценката се вземат предвид:
3.1. Общите рискове, свързани с изчислителните облаци и рисковете, свързани с опцията за конкретна „облачна услуга” и специфичните лични данни, както и с операциите по обработка;
3.2. Сигурността на данните в облачната инфраструктура предполага специфични рискове в сравнение с „традиционния” център за данни на място;
3.3. Рисковете при наемането на доставчик, предоставящ конкретната облачна услуга на много други клиенти в един и същи център за данни;
3.4. Риска по отношение на физическото местоположение на данните на потребителите в облака;
3.5. Рисковете при наличие на един или повече подизпълнители на облачната услуга;
3.6. При използване на публичен интернет, да се извърши оценка на рисковете за поверителност и цялост на данните;
3.7. Текущата пазарна действителност и зрелостта на бъдещите Cloud Service Provider (CSP) по отношение на тяхната способност да изпълнят изискванията за съответствие с предложения регламент и да намалят рисковете до приемлив мащаб. Това може да стане чрез получаване на предварителна информация (обществено достъпна или при поискване).
4. Определяне правата на достъп на доставчика на облачни услуги, в т.ч. при възникване на технически проблем и неговото отстраняване, за да се предотврати обработването на лични данни по нерегламентиран начин.
5. Администраторът на лични данни има администраторски профил, чрез който се осигурява пълен и непосредствен контрол върху сървърното пространство, като са приети правила и процедури (технически и организационни мерки) за осъществяване на контрол на този профил.
6. Утвърждаване на политики и процедури за защита на личните данни при наемане на облачни услуги и тяхното управление по отношение на достъп / преносимост / възстановяване / унищожаване на данни.
7. Предоставяне на информация/документация относно гаранции и евентуални пречки за осъществяване на надзорната дейност от страна на КЗЛД при използване на облачни технологии/услуги и разположение на сървърите извън територията на страната.
Добри практики при осъществяване на видеонаблюдение
Постоянна тенденция е нарастването на използването на системи за видеонаблюдение в публичния и частния сектор, в т.ч. и технологии като интелигентни звънци и безжични камери. Изграждането на система за видеонаблюдение, включваща видеокамери, свързани със записващо устройство и осъществяваща записи с образи на физически лица с възможност за тяхното последващо идентифициране, представлява „обработване” на лични данни по смисъла на чл.4, ал.2 от Регламент(ЕС) 2016/679.
Обработването на лични данни, чрез осъществяване на видеонаблюдение, може да се извършва при наличие на една от хипотезите, разписани в чл.6 от Регламент(ЕС) 2016/679 и при стриктно спазване на принципите, визирани в чл.5 от Регламента. Изрично даденото съгласие на физическите лица е само едно от алтернативно изискуемите условия за допустимост за обработване на лични данни, посочени в чл.6, §1 от Регламента.
Добри практики при осъществяване на видеонаблюдение чрез монтиране на видеокамери, свързани със записващо устройство са, както следва:
1. Поддържане на отделен регистър „Видеонаблюдение”, с изчерпателно посочената в чл.30 от Регламент(ЕС) 2016/679 информация.
2. Отчитане на рисковете с различна вероятност и тежест за правата на физическите лица, обект на видеонаблюдението, още на етапа на изграждането на системата за видеонаблюдение, като се въведат подходящи мерки (технически и организационни), които ще осигурят законосъобразното протичане на дейностите по обработване (защита на данните на етапа на проектирането и по подразбиране).
3. Въвеждане на подходящи технически и организационни мерки, за да се гарантира, както и във всеки един момент администраторът на лични данни да е в състояние да докаже, че обработването се извършва в съответствие с правилата на Регламент(ЕС) 2016/679, както и да покаже, че са взети предвид и интегрирани принципите на защита на данните.
4. Информацията, която се обработва чрез системата за наблюдение, е адекватна, уместна и ограничена до необходимото, като се обработва минимално количество лични данни, за да се изпълни целта на осъществяваното видеонаблюдение и видеозаснемане.
5. Регламентиране правата за достъп (локален и отдалечен такъв) до настройките на системата за видеонаблюдение, видеокадрите в реално време и съхранените записи.
6. В случай, че в хода на дейностите по обработване на данните за администратора на лични данни възникне необходимост да ползва услугите на обработващ лични данни, то взаимоотношенията и отговорностите са уредени съобразно разпоредбите на Регламент(ЕС) 2016/679, с ясно разписани правила и процедури за обработването на личните данни.
7. Предоставяне на необходимата информация на субектите на данни, в която се посочват лицата, които осъществяват видеонаблюдението и с каква цел, както и данни за връзка с администратора.
8. Уведомяване на физическите лица за правата им по Регламент(ЕС) 2016/679, като това се осъществява при ясно регламентиран ред.
9. Определяне на обхвата на заснемане и зоните, в които ще се използват видеокамери за наблюдение– видеокамерите трябва да бъдат фокусирани върху съответното пространство и когато по-широко наблюдение е възможно, но не е необходимо, това трябва да бъде ограничено. Това гарантира, че наблюдението не се извършва в области, които не представляват интерес и физическите лица не са неволно обект на наблюдение.
10. Записаната информация се съхранява сигурно по начин, който поддържа нейната поверителност, цялост и достъпност, като по този начин се гарантират правата на лицата, които са заснети чрез системата за наблюдение и записите се използват ефективно по предназначение.
11. Ограничаване на всяка способност за създаване на копия на информацията, съхранявана в системата за видеонаблюдение.
12. Въвеждане на достатъчно контроли и предпазни мерки, в случай, че системата е присъединена към компютърна мрежа.
13. Контролните зали и помещенията, където се съхранява техниката на изградената система за видеонаблюдение (в т. ч. записващо устройство и монитор), са защитени.
14. Определяне на конкретен срок за съхранение на видеозаписите от изградената система за видеонаблюдение.
15. Служителите на администратора на лични данни са обучени за работа със системата за видеонаблюдение и приетите политики, вътрешни правила и процедурите за сигурност на системата.
16. В случай на вземане на съвместни решения с друга организация относно целите и работата на системата за наблюдение, осъществяващите видеонаблюдение са съвместни администратори и носят солидарна отговорност за тази обработка, като същите:
16.1. Имат разписани ясни насоки и процедури, които да гарантират, че контролът и използването на системата за видеонаблюдение са подходящи;
16.2. Имат разписани ясни и конкретни процедури и правила за осъществяване на запис, достъп, обработване, предоставяне, разпространение и унищожаване на информацията с лични данни, съхранявана в системата за видеонаблюдение;
16.3. Гарантиране, че достъпът до изградената система за видеонаблюдение е ограничен само до упълномощени лица;
16.4. Извършване на периодични проверки/одити, за да се гарантира, че процедурите и правилата за осъществяване на видеонаблюдение се спазват.
17. Изключване или деактивиране по някакъв друг начин на всяка възможност за запис на аудио, освен ако администраторът на лични данни не може ясно да обоснове и докаже необходимостта и/или легитимен интерес за използването му.
18. Контролиране на всяко разкриване на информация на трети страни от системата за наблюдение, като се гарантира, че разкриването е в съответствие с целта/ите, за които е изградена системата.
19. Криптиране/шифроване като ефективно средство за предотвратяване на неоторизиран достъп до изображенията и записите, обработени в системата за видеонаблюдение.
20. В случай на съхранение на данните в облак (Cloud), са налице гаранции, че тази система е сигурна.
21. При сключване на договор с доставчик на облак и облачни услуги за съхранение на изображения и записи от изградената система за видеонаблюдение, администраторът на лични данни разполага с документация за предприетите от доставчика мерки за защита за осигуряване на достатъчна сигурност, още повече ако същото представлява международен трансфер.
Изводи за добри практики при анализ на нарушенията на сигурността на даннитепо чл.33 от Регламент(ЕС) 2016/679
Един от важните елементи в контролната дейност на КЗЛД е свързан с уведомленията по чл.33 от Регламент(ЕС) 2016/679. Администраторът, в случай на нарушение на сигурността на личните данни, без ненужно забавяне– но не по-късно от 72часа след като е разбрал за него, освен ако не съществува вероятност нарушението да породи риск, е длъжен да уведоми надзорния орган, а в някой случаи и физическите лица, субекти на данни, за настъпили нарушения на сигурността на данните.
Съгласно определението в Регламент(ЕС) 2016/679– „нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”. Следва да се отбележи, че в зависимост от обстоятелствата, нарушението може да засегне поверителността, цялостността и/или наличността на личните данни, както и каквато и да е комбинация от тях.
Осъществяването на надзорната функция на КЗЛД, задължително е свързана с наблюдение и съответен анализ на натрупвания или деформации при реализирането на защитата на личните данни в една или друга сфера. В резултат на такъв анализ на получените в КЗЛД нарушения на сигурността на данните се извеждат насоки и добри практики, както следва:
1. Периодична оценка на риска и съответната преценка за ефективност на въведените технически и организационни мерки
Гарантирането на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, които администраторите и обработващите ползват и прилагат е първостепенна задача при защитата на данните и осигуряване на подходящо ниво на сигурност. В голяма част от получените уведомления е видно, че администраторите/обработващите, при които е настъпил пробив в сигурността на данните, не са извършвали периодична оценка на риска или анализ на обработването, както и не са прилагали процеси на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, с оглед да се гарантира сигурността на обработването. Определянето наподходящи технически и организационни мерки за защита на личните данни, в това число въвеждането на механизми/технологични решения, които да позволят осъществяването на засилен контрол и проследяване на конкретни действия, извършвани от потребителите на системите, следва да става след анализ на риска и преценка на ефективността спрямо конкретните процеси на обработване на данни.
2. Спазване на принципа за отчетност– инструмент за доказване на съответствие с Регламент(ЕС) 2016/679
Обработването данните по начин, който гарантира подходящо ниво на сигурност, включително срещу неразрешено или незаконосъобразно обработване посредством прилагане на подходящи технически или организационни мерки е един от принципите, свързани с обработването на лични данни. В тежест на администраторите/обработващите е способността да се представят доказателства за спазването му. При администраторите/обработващите, допуснали нарушения на сигурността много често липсват необходимите документи или други способи за доказване на предприети и реализирани от тях мерки– примерно правила за формиране и сигурност на паролите, документиране на забрани за ползване на различни приложения или достъпи до информационните системи или доказателства за проведени обучения.
3. Обученията по защита на данните– свързани с и отразяващи специфичната дейност на администраторите/обработващите лични данни
При провежданите обучения се използват общи шаблони и готови материали за обучения, които дават представа за изискванията на Регламент(ЕС) 2016/679, но не са специфицирани спрямо конкретната дейност на администраторите/обработващите. Следва да се въвеждат мерки за персонална защита, изразяващи се в първоначални и периодични обучения на служителите, които да са съобразени с техните длъжности и сфера на дейност. За проведеното обучение в интерес на администраторите е да поддържат отчетност– да имат налични протоколи, програми, списъци с подписи или проведени тестове за проверка на знанията– като доказателства, че действително служителите са преминали обучение.
4. Обучения за сигурно обработване на данните в цифрова среда
Голям процент от нарушенията са свързани с проникване в информационните системи на администраторите на лични данни– различни по вид хакерски атаки, които водят до достъп до данни– тяхното ексфилтриране и/или криптиране, т.е. нарушение на поверителността или наличността. Предвидените от администраторите/обработващите обучения по защита на данните, следва да бъдат съчетани или съпътствани с обученията за информационна сигурност, които са неразривно свързани с опазването на данните в цифрова среда, като например– как паролата да е силна, да не се употребява за други достъпи, да не се запаметява на несигурни платформи или как да се пазят от фишинг, смашинг, рансъмуеър и т.н. Повишаване на осведомеността, свързана с ИТ сигурността е и защита на личните данни. Чрез използването на специализирани платформи до всички служители може да се свежда информация на различни теми като– сигурна работа от разстояние, рискове, свързани със социалните медии, как да се разпознават фишинг атаките, използване на мобилни устройства, основни принципи за защита на личните данни и др. Периодично да се напомня на персонала за фирмените политики за сигурност и за защита на данните. Могат да се реализират „пробни учения” за проверка на усвоената информациякато се провеждат симулации на фишинг и рансъмуер.
5. Уведомяване на засегнатите от нарушението субекти на данни
Регламент(ЕС) 2016/679 въвежда задължение към администраторите– при установен висок риск при нарушение на сигурността на данните, без ненужно забавяне, следва да се уведомят субектите на данните, които са засегнати при нарушението. В останалите случаи, при средно и ниско ниво на риск, законодателят оставя значителна свобода на действията за преценката дали е необходимо да се информират засегнатите лица, при какви условия и с какви средства. Позитивното действие на администраторите, в такива случаи е информацията за нарушението да не се затаява, каквато често е първоначалната реакция, а обратното: да се информира най-широкият кръг от засегнатите субекти на данни. Ориентираното лице в много по-висока степен би преценило има ли и какви биха били евентуалните вредни последици за неговите права и свободи и би предприело, при необходимост, адекватни действия или съответни информирани решения, които да допълнят и затвърдятвзетите от администратора технически и организационни мерки.
Заключение
В хода на осъществяване на контролната дейност на КЗЛД се констатира, че голяма част от администраторите на лични данни са добре запознати с нормативната база за защита на личните данни, прилагат в голяма степен подходящи технически и организационни мерки за защита на данните, уведомяват физическите лица за техните права, изпълняват задълженията си при упражняване на правата на физическите лица, както и съдействат на КЗЛД при упражняване на нейните правомощия.
Обобщените в настоящия информационен материал мерки за защита далеч не изчерпват възможните варианти на добри практики, които да осигурят и гарантират постоянна поверителност, цялостност и наличност на обработваните от администраторите/обработващите лични данни. Дефинирането на собствени, специфични (за дадения контекст на обработване) и конкретни мерки и действия за защита на личните данни, съобразени с тяхното естество и дейности по обработването им, е ключово за осигуряване на съответствие с принципите и изискванията на Регламент(ЕС) 2016/679 и за защита на основните права и свободи на субектите на данни.
Публикувано на 26.01.2023 г.
