Бългapcĸaтa нapoднa бaнĸa (БHБ) пpeдyпpeди зa извъpшвaнeтo нa злoнaмepeни xaĸepcĸи дeйcтвия чpeз изпpaщaнeтo нa зapaзни eлeĸтpoнни cъoбщeния oт имeтo нa инcтитyциятa. Cтaвa дyмa зa ĸлacичecĸa фишинг aтaĸa, изпoлзвaщa зa пpимaмĸa пoзнaт зa пoтpeбитeлитe пyбличeн cyбeĸт, тaĸa чe тe пo-лecнo дa ce пoддaдaт нa aтaĸaтa и дa cтaнaт жepтвa.

Изпpaщaнeтo нa злoнaмepeнитe имeйли e зaceчeнo oт вчepa, 12 aвгycт. Cъoбщaвa ce зa „няĸoлĸo cлyчaя“ нa тaĸивa eлeĸтpoнни cъoбщeния.

"Имeйлитe ce изпpaщaт пpивиднo oт aдpec, ĸoйтo ce визyaлизиpa ĸaтo Бaнĸoв мeниджъp. B cъoбщeниeтo aдpecaтитe мy ce yвeдoмявaт, чe имaт пoлyчeн вaлyтeн пpeвoд и тpябвa дa cлeдвaт yĸaзaниятa в пpилoжeн линĸ ĸъм cъoбщeниeтo“, oбяcнявaт oт цeнтpaлнaтa бaнĸa.

БHБ oбaчe нямa peгиcтpиpaни имeйл cъpвъpи в дoмeйни oт типa bnb.bg и нe изпpaщa дo гpaждaнитe cъoбщeния c пoдoбнo cъдъpжaниe. Зa cpaвнeниe, имeйлът зa ĸopecпoндeнция c oтдeлa зa вpъзĸи c oбщecтвeнocттa e Рrеѕѕ_оffісе@bnbаnk.оrg. Bcичĸи ocтaнaли ca oт cъщия тип, зaвъpшвaщ c „@bnbаnk.оrg“.

„Taĸъв тип cъoбщeния пpeдcтaвлявaт oпит зa фишинг aтaĸa и ca зaплaxa зa пoтpeбитeлитe, ĸaтo cъбpaнaтa пo тoзи нaчин чyвcтвитeлнa ĸлиeнтcĸa инфopмaция мoжe дa бъдe изпoлзвaнa cъc злoнaмepeнa цeл“, ce ĸaзвa изтъĸвa в изявлeниeтo.

B cлyчaй чe чoвeĸ e пoлyчил пoдoбeн имeйл, тoй нe тpябвa дa тeгли пpиĸaчeнитe в нeгo фaйлoвe или дa ĸлиĸa въpxy пpилoжeни линĸoвe. Aĸo гo нaпpaви, имa гoлямa вepoятнocт дa cтaнe жepтвa нa ĸoмпютъpнa измaмa.

Автор и източник: Econimic.bg

Линк: https://www.economic.bg/bg/a/view/bnb-predupredi-za-opiti-za-onlajn-izmami-ot-nejno-ime

Приетият в САЩ през 2018-та година Закон за облачните услуги (US CLOUD ACT), позволява на федералните агенции да задължават базирани в САЩ технологични компании да предоставят данни, които се съхраняват на техните сървъри. Компаниите са длъжни да предоставят данните, независимо дали сървърите се намират в САЩ или в чужбина. В обхвата на закона попадат и подразделения на компаниите, които оперират в чужбина, дори централите им да са извън САЩ.

Това на практика означава, че всички американски IT компании са задължени да предоставят всякакви данни на правителството си, дори и такива на чужденстранни клиенти, без да е необходимо по някакъв начин да ги уведомят за операцията. 

Подобна практика влиза в противоречие с изискванията по GDPR и една европейска компания може да се окаже в неловко положение между двата закона, ако предпочете някой от тримата големи клауд доставчици, популярни още като хиперскейлъри.

Европейските облачни доставчици са обект на европейското законодателство и са задължени да отговарят на изискванията на GDPR. В случай, че не са правно обвързани с американска компания, те са извън обхвата на Закона за облачните услуги и данните на клиентите им са в безопасност в това отношение.

Европейският надзорен орган по защита на данните вече е изразявал опасенията си по отношение на тази част от американското закаонодателство. Подобни възражения е отправял и германският комисар по защита на данните.

Като част от европейската общност, българските компании трябва да имат предвид рисковете, които поемат предоставяйки достъп до информация на клиентите си на субекти извън или на границата на ЕС законодателството. Това се отнася в особена степен за финансови, банкови и кредитни институции, но важи и за всички други компании, опериращи с клиентски лични данни.

Автор: Павел Недялков

Източник: delta.bg

Линк: https://delta.bg/blog/evropeiski-hosting/?fbclid=IwAR0jQSG7NZxIus-ZMzO6QlPtkWUeytFGUB2XHKgYO9rKEMijWWkRVXLNgns

Онлайн-измама с възстановяване на пари от НЗОК засипва електронните адреси на множество българи в последните дни. Е-писмото претендира да е изпратено от nhif.bg, сайта на НЗОК.

В заглавието е посочено, че получателят има право на възстановяване на известна сума „след проверка на [неговото] здравноосигурително досие”. Сумата е определена на 209,90 лева.

Получателите са призовани да попълнят лични данни във „формуляр”, до който могат да стигнат чрез кликване на подаден линк. 

Линк: https://technews.bg/article-133598.html

Източник и автор: TechNews.bg

Кибератаките през 2020 година са били насочени към няколко ключови индустрии, разкрива нов доклад на NTT. В него подробно се описва степента, до която глобалната „дестабилизация“ предоставя на кибер-нападателите възможности да натрупат парични „постижения“.

Най-често обект на прицел са били отрасли като здравеопазването, производството и финансовите услуги. При тях увеличението на атаките е съответно 200%, 300% и 53%. Тези три големи сектора са привлекли общо 62% от всички атаки, реализирани през 2020 г.

Удобни възможности

Атаки, специфични за дадени приложения, и кибер-нападения, прицелени към конкретни уеб приложения – това са областите, в които изследователите отчитат драстично нарастване. Обяснението е в стремежа на организациите да осигурят отдалечен достъп за служителите си чрез използване на различни клиентски портали.

Атаките от тази категория обхващат две трети от всички кибер-посегателства, според NTT. Цифрата се е удвоила през последните две години. Най-силно засегната е здравната индустрия.

Възход на крипто-копачите

Според доклада на NTT, крипто-копачките са най-често срещаният злонамерен софтуер в глобален мащаб. Използването на определени варианти като червеи и троянски коне не е изчезнало, то обаче е насочено срещу специфични индустрии.

Червеите се появяват по-често във финансовия и производствения сектор. Троянците с отдалечен достъп са по-разпространени в здравната индустрия. 

Крипто-копачите са най-популярни в образователния сектор, поради популяризирането на криптовалутите сред ученици, които използват незащитени инфраструктури.

https://technews.bg/article-134014.html

Източник и автор: TechNews.bg 

Какво научихме за три години GDPR?

Правилният път към спазване на европейските правила за защита на данните е постоянно информиране за новите изисквания и внедряването им на практика

През пролетта на 2018 г. едно четирибуквено съкращение беше навсякъде - GDPR (от английското General Data Protection Regulation - Общ регламент за защита на данните). Темата за защитата на личните данни изведнъж се превърна във водеща, хората започнаха да обръщат повече внимание на това как и защо се обработват данните им, а бизнесите в Европейския съюз (ЕС) и извън него - да разучават новите изисквания и да се опитват да приведат дейностите си в съответствие. Причината бе, че от 25 май 2018 г. започна да се прилага новият европейски регламент за защита на данните. Той въведе по-строги изисквания за обработването на лични данни, придружени със сурови санкции за нарушения.

Какво се промени три години след като новите правила на GDPR започнаха да се прилагат и какво научихме?                                                                                                                                                                                                                                                               

1. GDPR не е равнозначен на забрана да се обработват лични данни

Три години по-късно вече знаем, че макар GDPR да въвежда множество изисквания, той не е равнозначен на забрана за обработване на лични данни. Всеки от нас присъства в обществото със своето име, професия и професионален опит, външен облик, знания, компетенции и мнение и обработването на тези данни е необходимо за нашето идентифициране, за да можем пълноценно да участваме в обществения живот и да бъдем различавани от другите. В допълнение, всеки от нас ежедневно има досег до лични данни и няма как това да се избегне, независимо дали попада в обхвата на GDPR или не. Нещо повече - няма бизнес или публичен орган, който в хода на нормалната си дейност да не обработва лични данни - за служители, за клиенти или техни представители/служители, за граждани и т.н.

2. "Пълното съответствие" е продължителен процес

В последните три години често се говори за "пълно съответствие" (full compliance) на един бизнес с GDPR и представата обикновено е за набор от документи, който трябва да бъде изготвен еднократно и с който може да се гарантира съответствието занапред. За съжаление изпълнението на изискванията на GDPR не е еднократно усилие по изготвяне на документи. Както всеки бизнес се развива, така и извършваните операции по обработване на лични данни се развиват и променят и прилаганите документи и процедури се нуждаят от редовен преглед и актуализация. Отделно от това, важно е не само администраторът (който определя защо и как се обработват лични данни) да разполага със съответните документи, но и да ги прилага ефективно в максимална степен. Дори една организация да има чудесни документи, ако на практика не ги спазва и това бъде установено от Комисията за защита на личните данни (КЗЛД) (като например нарушение на сигурността или събиране на данни без основание), тя ще бъде санкционирана въпреки приложимите по документи процедури. Както воденето на счетоводство е динамичен процес и предполага осчетоводяването на всяка стопанска операция, така и всяко обработване на лични данни следва да бъде документирано, в компанията да е ясно защо се извършва обработването и какви правила и гаранции трябва да се прилагат, за да се спазват изискванията на закона.                                                         

3. Научихме що е то "отчетност" по GDPR

GDPR въведе нов принцип при обработването на лични данни - този на отчетността. Това означава, че администраторите на лични данни трябва да могат да докажат, че спазват всички принципи на GDPR (законосъобразност, добросъвестност и прозрачност, ограничение на целите, свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност). Какво означава това на практика? Най-често за целите на отчетността служат вътрешни документи на администратора, в които горните принципи намират място. Пример за такива са вътрешни правила, в които се определят задълженията на служителите по обработването на лични данни, политики за съхранение на лични данни, инструкции за спазване на технически и организационни мерки за обработване на лични данни, както и задължителните за почти всички администратори регистри на дейностите по обработване. В тези регистри се отразяват спецификите на основните процеси по обработване на данни - отношения с персонал, кандидати за работа, клиенти, доставчици, видеонаблюдение и др. Във връзка с принципа за прозрачност администраторът следва да информира лицата, чиито данни обработва, за извършваното от него обработване, като им предостави детайлна и лесно разбираема информация за това какви данни обработва, какви цели преследва с това и на какво основание. Субектите на данни трябва да са информирани и за какви срокове се пазят данните им, на кого могат да се разкриват, какви права имат хората и как могат да ги упражнят ефективно. В допълнение, администраторите трябва да прилагат процедури за разглеждане на искания за упражняване на права и за съобщаване в случай на нарушаване на сигурността (когато се изисква), съществени промени в обработването и всяка друга информация, която засяга значително хората.

4. Какво е длъжностно лице по защита на данните

GDPR въведе една нова фигура - на длъжностното лице по защита на данните (ДЛЗД). ДЛЗД не е задължително за всяка организация, обработваща данни, а само в някои случаи, очертани от GDPR. Такива са публичните органи (с изключение на съдилищата за съдебните им функции) и администраторите и обработващите, чиито основни дейности се състоят в редовно и систематично мащабно наблюдение на хора или в мащабно обработване на "чувствителни" лични данни (като данни за здравето, биометрични данни, генетични данни и др. изчерпателно посочени в член 9 GDPR) и на лични данни, свързани с присъди и нарушения.

На първо място, всеки администратор в България е необходимо да уведоми КЗЛД за назначеното от него ДЛЗД. Това се случва чрез формуляр, публикуван на интернет страницата на КЗЛД, който може да бъде подаден и електронно с квалифициран електронен подпис.

Три години по-късно вече е значително по-ясно кой може да изпълнява функциите на ДЛЗД и кой - не. Като за начало няма пречка ДЛЗД да е служител на компанията, но също така е възможно да е външен за организацията човек или дори юридическо лице, което предоставя изпълнението на функцията "ДЛЗД" като услуга. Когато ДЛЗД е служител, най-същественото е, че не трябва да има конфликт между функциите му на ДЛЗД и другите му трудови или служебни функции, ако съвместява такива. Най-честият пример за конфликт е, когато за ДЛЗД е назначен човек с управленчески функции в организацията, който на практика взема решения за това как да се обработват лични данни. Подобно назначение би било в противоречие със задължението ДЛЗД да е независим консултант и наблюдател за спазването на задълженията по GDPR и да посредничи и да си сътрудничи с надзорните органи. Иначе казано, в такава ситуация ДЛЗД би трябвало да контролира сам себе си, което е конфликт на интереси. Затова не може главният счетоводител, главният юрисконсулт, главният IT специалист, ръководителят на човешки ресурси, управителят и др. под. ръководни длъжности да бъдат определени и за ДЛЗД. При сключване на договор с юридическо лице за изпълнение на функциите на ДЛЗД най-същественото е, че макар да има сключен договор с дружество, за възложителя, ползващ услугите му, трябва да се посочи конкретно физическо лице, което ще бъде отговорно за неговото обслужване. Това се налага, тъй като формулярът за уведомяване за назначаване на ДЛЗД изисква попълване на данните на физическо лице, а и КЗЛД публикува изрични указания в този смисъл.

5. Администраторите вече не се регистрират

Преди GDPR да започне да се прилага, законът предвиждаше всеки администратор на лични данни да се регистрира пред КЗЛД, преди да започне обработването. С GDPR се въведе нов режим, при който всяка организация може да обработва лични данни, без да се регистрира. Това означава, че всички изисквания на GDPR се прилагат автоматично към всеки администратор и обработващ личните данни, стига обработването да попада в обхвата на Регламента. Не се искат формалности и допълнителни стъпки, за да се започне обработването. В същото време обаче организациите по всяко време носят тежестта да докажат, че спазват законовите изисквания за обработване на лични данни (виж т. 3 по-горе за отчетността).

6. Дори минималното обработване на лични данни поражда задължения по GDPR

Често срещан въпрос е в какъв мащаб обработването на лични данни поражда задължения по GDPR. Отговорът е, че макар GDPR да предвижда изключения от обхвата си, нито едно от тях не е свързано с обема или вида на обработваните данни. Например уебсайт, който събира единствено имейл адреси от потребителите, желаещи да получават бюлетин, се счита за администратор на данни и трябва да се съобрази с всички приложими правила на GPDR. Нещо повече - с решение от 2016 г. (C-582/14, по-известно като "Breyer") Съдът на ЕС приема с известни условности, че динамичните IP адреси, обработвани от уебсайт, са лични данни, тоест всеки уебсайт, достъпен в интернет, би могъл да се приеме за администратор на лични данни, дори и да не събира каквито и да било други лични данни. 

Източник :  Капитал

Автори : Радослава Макшутова, доц. д-р Мартин Захариев

https://www.capital.bg/politika_i_ikonomika/pravo/2021/05/24/4212465_kakvo_nauchihme_za_tri_godini_gdpr/

Скъпи клиенти и приятели,

По повод на извънредната ситуация, породена от COVID – 19, Главна дирекция „Европейски фондове за конкурентоспособност” - Управляващ орган на Оперативна програма „Иновации и конкурентоспособност“ 2014-2020 отвори програма за „Подкрепа за средни предприятия за преодоляване на икономическите последствия от пандемията COVID-19“. Крайният срок за подаване на документи за кандидатстване е 24 август, а размерът на безвъзмездната помощ е от 30 000 лв до 150 000 лв.

Ние от „Дейта Корп“ ООД можем да Ви помогнем в подготвянето , подаването и администрирането на изискваните документи към Агенцията по електронен път.

Доверете се на нашия юридически и технически професионализъм и опит!

        От ГДБОП предупреждават гражданите за възникнала нова СПАМ атака! Имейлът съдържа вирус, който "краде" Вашите пароли и лични данни, съдържащи се на усторйствата Ви! Бъдете внимателни! НЕ отваряйте имейла - изтрийте го! 

Линк към новината от пресцентъра на МВР: 

https://www.mvr.bg/press/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%B0-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%B0-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%BE/%D0%BF%D1%80%D0%B5%D0%B3%D0%BB%D0%B5%D0%B4/%D0%B0%D0%BA%D1%82%D1%83%D0%B0%D0%BB%D0%BD%D0%BE/%D0%B3%D0%B4%D0%B1%D0%BE%D0%BF-%D0%BF%D1%80%D0%B5%D0%B4%D1%83%D0%BF%D1%80%D0%B5%D0%B6%D0%B4%D0%B0%D0%B2%D0%B0-%D0%B7%D0%B0-%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0-%D1%81%D0%BF%D0%B0%D0%BC-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0?fbclid=IwAR2JlfMGhZpXsKMMhRq_6xa99gawV-fACVzcW6hzAJ0VemaCqkEXF0rFNkQ 

От 05.09.2019 г. вече е активно приложението за проверка на личните данни, които са изтекли от Национална Агенция за Приходите. На посочения линк може да направите справка като въведете своя ПИК или КЕП - https://check.nra.bg/ . От НАП са предоставили и няколко полезни съвета, с които апелираме да се запознаете и да спазвате, особено тези в раздел "КАКВО ДА НЕ ПРАВИТЕ?". 

57 папки с близо 11GB информация за милиони българи бяха разпространени от анонимни хакери в понеделник до редица медии по електронната поща. Това е най-голямото познато изтичане на лични данни в страната. „Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно“, пишат хакерите.

По техни думи информацията е добита от сървър на Министерство на финансите, а характерът на данните навежда на мисълта, че те произхождат от Националната агенция по приходите (НАП), пише „Капитал“. 

„НАП и специализираните органи в МВР и ДАНС проверяват сигнал за потенциална уязвимост на компютърната система на Националната агенция за приходите. В момента се извършва проверка реални ли са данните на посочената връзка, за които се твърди, че са на МФ. Допълнителна информация ще бъде предоставена по-късно“ – това се казва в официалния отговор на финансовото ведомство след запитване на вестника. 

Информацията в изтеклите файлове датира от над десет години назад във времето. Любопитното е, че в някои от тях личат и актуални вписвания от този юни, което подсказва, че пробивът скорошен. 

Относно съдържанието на файловете – те са в CVS формат, личат кодови имена и кратки обяснения. За да бъдат разгадани, е нужен шифър. 

Имената на папките обаче подсказват източника им. Така например има папки AZ (Агенция по заетостта), BACIS (Българска акцизна централизирана информационна система), NZOK (Национална здравноосигурителна каса), AUAN (Актове за установяване на административни нарушения) и др., както и няколко, включващи NRA или NAP.

Налични са и огромни файлове с мисиви от лични данни. В един файл, кръстен GRAO, има 1.4 млн. реда, всеки от които съдържа само три имена и ЕГН. В случая вероятно става дума за справка от ГРАО за попълване на данни на НАП. 

Има и файл, където срещу над 1.1 млн. ЕГН-та стоят месечни доходи и вноски за доброволно пенсионно и здравно осигуряване към неизвестен момент, пише още медията.

В писмото на хакерите се посочва, че тези 57 папки са част от общо 110 компрометирани бази данни. Не стана ясно защо точно тези са направени публично достояние. „Над 5 млн. български и чуждестранни граждани, както и компании са засегнати“, оценяват анонимните хакери, като призовават медиите да търсят свободно сред данните и да си правят собствени разследвания. От мейла става ясно още, че целият теч е около 21 GB данни.

Източник на новината: https://www.economic.bg/bg/news/11/danni-na-nad-5-mln-grazhdani-sa-iztekli-ot-nap.html

"British Airways" ще бъде глобена с рекордните 183 млн. паунда заради пробив в системите за сигурност, довел до изтичане на лични данни. Регулаторните органи обясниха, че това е най-голямото финансово наказание, което са налагали и за първи път то се прави публично достояние заради новите правила, които действат. В изявление на авиопревозвача се казва, че компанията е изненадана и разочарована от решението. И се прави уточнение, че чувствителната информация е изтекла след прецизна хакерска атака. Заради нея е възможно номерата на хиляди кредитни карти да са били уязвими. Пробивът се е случил в края на август и началото на септември миналата година.

Източник: http://news.bnt.bg/bg/a/globyavat-british-airways-s-rekordnite-183-000-000-paunda

Датата 25 май 2018 г. разбуни духовете в българския малък и среден бизнес. Това е датата, в която Регламент  (ЕС) 2016/679 влезе в сила и грубо казано „стартира“ своето задължително действие за всички държави-членки на ЕС. Общият Регламент за защитата на данните въвежда изисквания, касаещи потока на лични данни в публичния и частния сектор. Прилагането на разпоредбите, които се съдържат в Регламент 2016/679, предизвика повдигането на много и основателно задавани въпроси от страна на адресатите на нормите. Такива са „Длъжен ли съм да го правя – нали няма закон?!“, „Каква е целта на GDPR?“, „Това не е ли поредната бумащина, с която държавата иска да натовари бизнеса?“, „Поредната палка на властта ли е това?“, „Има ли изобщо смисъл от GDPR?“, „Аз трябва ли да направя нещо?“, „Кой пък ще тръгне да ме проверява точно мен?“ и др. подобни. За да се даде отговор на тези въпроси ще започнем от малко по-далеч, а именно – що е то това Регламент като правен акт и какво е неговото действие.

            С приемането на България в Европейския съюз през 2007 г. в националния ни правопорядък се появи т.нар. „наднационално право“, или иначе казано правото на ЕС. Договорите, с които са създадени европейските общности, по своето естество представляват международни споразумения. Чрез тези споразумения държавите-членки създават квази-правителствени органи, на които предоставят нормотворчески, административни и съдебни суверенни права, ограничавайки своите такива в определени области. Тези институции са независими от националните държавни органи. Тяхната цел е да се създаде една общност, с единна правна регламентация и правов ред, чрез вменяване на задължения и предоставяне на права на държавите-членки и физическите и юридическите лица. Тези международни споразумения формират първичното право на Европейския съюз, или иначе казано те представляват „Конституцията“ на ЕС. Такива са „Договора от Маастрихт“ („Договора за Европейския съюз“), „Договора от Амстердам“, „Договора от Ница“ и други. За да функционира и да постигне своите цели първичното право налага необходимостта от приемането на различни актове, с които се конкретизират, тълкуват, прилагат и въвеждат нови правила. Такива актове са регламенти, директиви (чл. 288 от ДФЕС - Договор за функционирането на Европейския съюз), резолюции, програми, решения и други. Те формират т.нар. производно право на ЕС и притежават различна правна сила и действие, което обвързва държавите-членки и налага приоритетното им прилагане.

            Описаната по-горе организирана съвкупност от правни норми представлява общностния правопорядък, който обвързва както държавите-членки, така и техните граждани. Тези норми стават действащо право на държавите-членки, без да е необходимо предприемането на каквито и да е било национални мерки, които да го допускат, обуславят или опосредяват.

За целта на настоящото изложение ще направим кратко разяснение на Регламента като правен акт и неговата приложимост.

            Регламентът е основният нормативен акт в европейското право. Неговата роля е съпоставима със закона в нашето национално право. Отнася се до неограничен и неопределен кръг субекти, съдържа норми с общ характер и има действие по отношение на всички държави-членки и абстрактно по отношение на всички частни лица. Регламентът установява нормативни принципи, определя условията за приложението им и произтичащите от тях правни последици. Предназначението му е да урежда обществените отношения в рамките на държавите-членки, с ежедневна непосредствена приложимост, с директен ефект и действие спрямо всички. Съдържа общи неадресирани разпоредби, които засягат директно правната сфера на частните лица. Неадресирани означава, че адресатите на разпоредбите не са индивидуализирани, а са абстрактно определен кръг от субекти. Чрез регламентите ЕС директно урежда обществени отношения. Те са задължителни в своята цялост – това ги разграничава от директивите, които са задължителни само по отношение на резултата, който предписват (по-долу ще се направи препратка към новата директива за киберсигурност). Всяка държава-членка е длъжна да изпълнява регламентите. Тя не може избирателно или частично да прилага регламент, независимо от това каква е била позицията ѝ при приемането на акта. Друг съществен елемент е, че никоя държава-членка няма право със собствен акт да изменя или допълва регламент. Тя е длъжна да санкционира всяко негово нарушение или неизпълнение, независимо дали нарушител е държавен орган, или частно лице. Основното качество на регламента е неговата непосредствена приложимост и директен ефект, които се съдържат в принципа на примата на Общностното право, нормативно закрепен в чл. 288 от ДФЕС. Това означава, че всякакви национални мерки по обнародване, транспониране и въвеждане следва да се считат за забранени. Противното е възможно да доведе до разлика в приложението на регламента в държавите-членки, а неговата цел е да уреди едновременно по един и същ начин един и същ вид обществени отношения. От това следва да се направи изводът, че ако Общностното право не се ползва с примат то би било лишено от своята ефективност и смисъл. Няма регламент без норми с директен ефект, но не всички норми са с директен ефект. Той се преценява винаги конкретно за всяка отделна норма към момента на прилагането ѝ. Преценката се прави най-просто като се даде отговор на следните 3 въпроса: Кой? (кой е субектът на задължението); Какво? (какво поведение се изисква от субекта); Кому? (на кого дължи това поведение субектът). Другият вид норми, които могат да се открият в даден регламент са такива, които налагат предприемането на национални изпълнителни мерки. Наличие на подобни норми има и в Регламент (ЕС) 2016/679 (GDPR), например за минималното съдържание и вида на изискуемите регистри, органът и начинът по който длъжностните лица по защита на личните данни ще се сертифицират и др.

Тук е моментът да се спомене за отговорността, която държавите-членки носят пред ЕС, за прилагането на Общностното право, както част от необходимите стъпки за неговото приложение. По правило държавите прилагат регламентите само в условията на обвързана компетентност (друго е при директивите, които са задължително по отношение на резултата). Ако една държава - членка не прилага правилно и коректно даден регламент, всеки засегнат има право да отнесе въпроса пред компетентния съд в ЕС и тя да бъде осъдена. Никакви политически или административни (липсата на орган, компетентни кадри, незнание за наличието на регламент) пречки не могат да се ползват като оправдание за неприлагането или неизпълнението на даден регламент. Държавата-членка е длъжна да вземе всички необходими правни, бюджетни или административни  мерки и да осигури процедурите, с които да се гарантира изпълнението на регламента своевременно, независимо дали от нея се изисква действие по самия регламент, или се изисква да се погрижи за правилното му приложение.

            С това въведението за регламента като институт на правото приключва. В горното мисля, че се даде и конкретен отговор на първия въпрос – „… нали няма закон?!“ Закон има, просто трябва да претърпи корекции и да бъде съобразен с изискванията на новия ред. Нещо, което всички чакаме да се случи от известно време…, но същевременно нещо, което не бива да спира работата по привеждането на бизнеса Ви в съответствие с разпоредбите на GDPR!

Нататък в изложението ще Ви разкажем за случаи от нашата практика и ще представим становището на „Дейта Корп“ ООД, като по този начин ще разберете, че ние не просто имаме решение на Вашия проблем, ние Ви даваме сигурност!

„Каква е целта на GDPR, или какво е наложило неговото приемане?“

Отговорът на този въпрос се съдържа още в първите редове на Регламент (ЕС) 2016/679 и по-конкретно в изречение второ на съображение № 2:

(Съображенията представляват изложение на мотивите – законови, политически, обществени и икономически, които са наложили вземането на решение да се приеме обсъжданият акт. Съображенията са неразделна част от Регламента и намират своето място преди общите му разпоредби.)

„Настоящият регламент има за цел да допринесе за изграждането на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален напредък, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората.“

Това е крайната „заветна“ цел на Европейския съюз, а в частност и на GDPR. Тя трябва да бъде подплатена, гарантирана с и в съответствие с принципите, правилата и ПРАВОТО на защита на личните данни на физическите лица, намиращи се на територията на ЕС. Предметът и целите на Регламент (ЕС) 2016/679 се съдържат в общите му разпоредби и по-специално от чл. 1 до чл. 3. Причините за поставянето на тези цели – да се гарантират сигурността и защитата на личните данни на хората са неизчерпателно изброени от съображение (4) до съображение (7), включително. Просперитетът на технологиите и икономиката са създали нови предизвикателства пред сигурността на личните данни на физическите лица, като едновременно трябва да се гарантират и всички права и свободи на човека. Именно тук се намесва GDPR. „Той“ няма за цел да преустанови или забрани обмена и събирането на лични данни, а да го регламентира и канализира по начин, който да гарантира сигурността на данните. Прилагайки необходимите процедури за защита ще бъде по-лесно да се установи изтичането на лични данни и да се преустанови, или ограничи нерегламентираният достъп. Всеки достъп, трансфер или обработка следва да остави своята следа. Вземете за сравнение счетоводството - то няма за цел да спре паричния оборот, а да го контролира и „обяснява“. Много хора именно това ги спира и стряска.

При лични срещи, много клиенти ни питат: „Какъв е смисълът? – Поредната бюрократщина, бумащина и тежест за бизнеса ли е?“ и „Каква е ползата от GDPR?“

Дали е бумащина или не зависи от това, в какво състояние е била документацията за бизнесът Ви досега. Да, ще отнеме време да се направи. Да, ще се наложи да се поразровите и поразхвърляте, но в крайна сметка ще постигнете ред и сигурност. А ако всичко Ви е било изрядно подредено – това е чудесно! Сега ще се наложи само да гарантирате неговата сигурност и неприкосновеност. Да сведете до минимум риска от нерегламентиран достъп, пробив и изтичане на информация.

Ако погледнете на нещата като необходима възможност, а не задължение, всичко ще се случи бързо и лесно.

Смисълът се явява в това да се знае във всеки един момент какво се случва с личните данни на физическите лица – кой ги обработва, от къде ги има, защо ги обработва, на кого ги предоставя. Тук идва и моментът с киберсигурността – как ги съхранява и пази. Освен това, имайте предвид, че самият Тим Кук (изпълнителен директор на „Apple“) вижда ползите на Регламент (ЕС) 2016/679 и посъветва членовете на Конгреса на САЩ също да състави и приложи подобен акт, макар и в Щатите от години да съществува законодателство за защита на личните данни.

            Практиката ни показва, че масово бизнесът е изпаднал в един хаос от документи от всякаквъв вид. В повечето случаи се губят документи и по „Закона на Мърфи“ се появяват точно, когато вече не са Ви необходими. Една от идеите на Регламента и Директивата за Киберсигурността е да се въведе ред във всичко – подреждане на документите, архивирането им, качването им на електронни носители, запазването им в сървърни и клауд – устройства, ограничаване на свободния достъп до тях, както и най- важното – криптирането им.

            Затова бихме казали – да, първоначално е тежко за всеки бизнес да интегрира новите правила, но в последствие всичко се опростява и работата тръгва „като по вода“, а накрая ясно се вижда смисълът на всичко това. Дори ще си задавате въпроса как и защо не сте се сетили по-рано за това и защо не е имало някой да Ви покаже ползите и да Ви помогне да ги интегрирате в дружеството си. 

Друг често задаван въпрос от клиентите ни по време на среща е „Кога ще започнат проверките и налагането на глоби?“. 

Всъщност, проверките и налагането на глоби вече започнаха, като се очаква с всеки изминал ден те да се увеличават. Дори вече имаше казус с наш клиент – беше подаден сигнал и благодарение на съвестната и качествената му работа, както и на нашата такава, с оглед на разписаната документация и процедури – КЗЛД (Комисията за защита на личните данни) взе аргументирано решение, че не е установено налично нарушение и отказа да наложи санкция. Впрочем, по този начин ще опитат да процедират много дружества. Основната идея, според нас, ще е да дестабилизират и притискат основните си конкуренти, което е възможно да се превърне в порочна практика. Точно затова нашата практика е индивидуална към всеки от клиентите ни – целта е да намерим всички възможности за пробив и да подсигурим документално и технически сигурността на дружеството, относно работата му с лични данни на физически лица.

Наскоро ни попитаха „Този Регламент важи ли за мен?“. 

Той важи за абсолютно всички, които обработват лични данни. Основните са юридическите лица, но в това число влизат и физическите лица – например хората на свободна практика – лекари, адвокати, одитори и т.н. Всеки трябва да има ясно писани правила и политики, във връзка със защитата на личните данни на своите клиенти и служители. В този смисъл са и текстовете от член първи до член четвърти включително от GDPR. Все пак става въпрос за защита на личните данни на физическите лица, а едно ЮЛ е изкуствено създаден институт и неговото съществуване без физическо лице е немислимо.

 „Поредната палка на властта ли е това и трябва ли аз да направя нещо?“

Макар и грубо зададена първата част от въпроса не е лишена от смисъл и основание. Тук ще се въздържим от коментар за доверието на хората и бизнеса в държавата. Силно се надяваме, а и сме сигурни, че не би следвало да има подобни опасения. КЗЛД е един административен орган с контролни и административно - наказателни функции. Неговата дейност няма да се сведе до това да изнудва бизнеса и да се налагат огромни глоби с цел фалит на дружества. Все пак, този Регламент действа за целия Европейски съюз и контрол по неговото изпълнение може да бъде прилаган и от него. Към този момент самата Комисия действа плахо и несигурно. Обемът от работа е огромен и ще се разраства. Нещото, което може да се направи е да се съдейства на КЗЛД да осъществява своята дейност по контрол прозрачно, добросъвестно и законосъобразно. Как? – като приведете навреме бизнеса си в съответствие с разпоредбите на GDPR, съответно като не давате повод за проверки и санкции, а при евентуална проверка представите всичко необходимо и съблюдавате да се спазват правата Ви. Както вече уточнихме, Регламентът няма за цел да позапълни „дупките“ в държавните бюджети, нито цели фалита на мнозинството от бизнеса. Целта е, чрез страх от наказание (превантивна мярка), компаниите да бъдат стимулирани да предприемат всички необходими мерки по опазването на личните данни, които събират, обработват, съхраняват и трансферират.

„Кой ще тръгне да ме проверява точно мен?“

Този въпрос винаги предизвиква усмивка на лицата ни! Той обаче не е предизвикан от работата на КЗЛД или от приложението и съдържанието на разпоредбите на Регламент (ЕС) 2016/679. Неговата основа и основание се крие дълбоко в разбиранията и възгледите на българската народопсихология.

Затруднени сме с даването на отговор и опита да Ви убедим в противното, но ще се постараем! Дори и да сте убедени, че сте неуязвими и непоклатими ще си позволим да Ви дадем съвет – не винаги евтиното излиза евтино! Макар и в застрахователните среди вече да се говори и за застраховка, която покрива защитата на личните данни и киберсигурността, никой не може да Ви гарантира, че няма да станете обект на проверка. Още повече - дори и да нямате „теч“ на данни и проверката да не е насочена към Вас, е възможно да се окажете „свързано лице“ с проверяваната компания и да предизвикате интерес у КЗЛД. На следващо място бихме искали да Ви уверим, че „солените“, предвидени в GDPR, глоби далеч не са единственият разход, който е възможно да се наложи да поемете при едно евентуално установено нарушение. Такива са обезщетенията, административните такси по производствата, както и временната или пълна забрана за обработване на лични данни, което е равносилно на прекратяване на бизнес процесите, а от там и печалбите Ви.

Затова нашият призив към Вас е – бъдете разумни, а не самоуверени!

Друга много важна тема, която трябва да се засегне е и новият закон за киберсигурност.

Съставен с оглед на приемането на Директива (ЕС) 2016/1148 и обнародван на 13.11.2018г., Законът за Киберсигурност е пряко свързан с Регламент ЕС 2016/679 и до голяма степен се припокриват двата акта. Целта им е да се въведат високи мерки за сигурност на мрежите и информационните технологии. Но дори и без тези актове на Европейския Парламент и българския законодател всеки бизнес трябва да обърне сериозно внимание на компютърната си и софтуерна инфраструктура, поради множеството пробиви, които се случват от там и многократното покачване на риска от изтичане на информация – лични данни и търговки тайни и практики. Точно поради тази причина, ние от „Дейта Корп“ ООД имаме и екип от ИТ- специалисти, които виждат слабостите на нашите клиенти и се погрижват те да бъдат защитени и по тази линия. В днешно време от първостепенно значение е информацията на Вашето дружество да бъде превилно и сигурно събирана, изпращана, пазена и архивирана. Затова съветваме да бъдат интегрирани лицензирани и доказани софтуерни продукти, антивирусни програми, рутерни устройства и т.н. Много е важно във всеки един момент да се знае и да се оставя отпечатък кой е достъпвал личните данни на Вашите клиенти и служители, защо ги е достъпил, как ги е използвал и дали и на кого ги е разпространил – това би осигурило Вашата защита при евентуален непозволен достъп и/или увреждане от Ваш служител или трето, външно лице.   

Във връзка с постъпилите множество запитвания относно обучения в сферата на защита на личните данни, предлагани от редица организации, включително под формата на сертификационни обучителни курсове, Комисията за защита на личните данни информира, че не е оторизирала нито една организация или обучителен център да провежда обучения в областта на защитата на личните данни от нейно име, нито е одобрявала обучителни програми за това. КЗЛД извършва разяснителната си кампания самостоятелно.

Важно е да се отбележи, че администраторите нямат задължение да участват в такива обучения, включително по отношение на задълженията на длъжностните лица по защита на данните. Те биха могли да участват в обучения по своя преценка и според конкретните си потребности. Решението и отговорността са на самите администратори.

https://www.cpdp.bg/?p=news_view&aid=1410

Регулаторът в Ирландия е започнал да разследва Twitter във връзка със съмнения, че пристъпва правилата за неприкосновеност на личния живот, заложени в Общия регламент за защита на личните данни (GDPR). Поводът е, че компанията е отказала да даде подробности за това каква информация за потребителите събира, когато те кликнат върху линк в някой туит.  

Когато човек пусне връзка към друг сайт в своя публикация в Twitter, платформата използва своя услуга за съкращаване на линка – t.co. Според компанията това ѝ помага да измерва колко пъти е било кликнато върху нея, а също така и в борбата със злонамерен софтуер, препращащ към измамни сайтове. 

Изследователят Майкъл Вейл от university College London обаче подозира, че инструментът има и още едно предназначение – да помага на Twitter да получава повече информация за потребителите, които са кликнали и например да може след това да проследява дейността им от сърфирането в интернет. 

Позовавайки се на новите правила, влезли в сила с GDPR от май тази година, Вейл е поискал от Twitter да му предостави информация за всички лични данни, които мрежата има за него като потребител. Компанията обаче е отказала да му каже какви подробности събира с мотива, че изпълнението на поръчението ще ѝ коства непропорционални усилия. 

Отказът мотивирал Вейл да подаде жалба към ирландската комисия за защита на данните. Този четвъртък стана ясно, че органът е стартирал официално разследване по случая. 

Twitter, както и повече големи технологични компании, са позиционирали европейското си седалище в Ирландия, затова и по казуса е сезиран местният регулатор. 

Сега предстои да се уточни дали Twitter е изпълнила задълженията си по Регламента, който изрично казва, че потребителите имат право да изискват наличната за себе си информация от компаниите. 

Жалбата вероятно ще бъде разгледана и от новия Европейски съвет за защита на личните данни – орган, който помага на националните регулатори в прилагането на GDPR. Случаят на Вейл е специфичен с това, че „включва трансгранична обработка“. 

• Комисията за защита на личните данни (КЗЛД) ще може да извършва проверки в медии с право да влиза във всички помещения на редакцията и на достъп до всеки компютър и друго техническо средство за предаване на данни, както и право да изисква достъп до всички данни и до цялата информация, с едно-единствено изключение – няма да има право да иска разкриване на източниците на информация. Това става ясно от проекта за промени в Закона за защита на личните данни (ЗЗЛД), който правителството внесе в парламента в края на миналата седмица.
• В него са направени някои корекции спрямо първоначалния вариант, които отразяват част от критиките по време на общественото обсъждане преди приемането му от Министерския съвет. Същевременно обаче там продължават да стоят редица тревожни текстове, не всички основателни критики са съобразени, нещо повече – при редакцията са се появили нови текстове и варианти, които пораждат нови опасения. В законопроекта има много неясни разпоредби, даващи възможност за широко тълкуване и произвол, както и казуистично търсени разрешения.Това е оценката на част от експертите, участвали в първоначалното обсъждане на проекта за промени в ЗЗЛД, който в края на тази седмица бе публикуван на сайта на парламента. Законопроектът е мащабен – близо 80 страници текст, от които само четири страници мотиви. Само по себе се това е крайно несериозен подход, още повече, че мотивите почти изцяло са посветени на значимостта на въвеждането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (т. нар. GDPR), но не и за отделните текстове по същество.Опасения за цензура и натиск върху медии
• Едно от сериозните опасения са, че и новата редакция на законопроекта дава широка възможност за цензура и натиск върху медии и журналисти. По време на обсъждането бе коментирано, че журналистическата дейност трябва изрично да се изключи от приложното поле на ЗЗЛД, тъй като нейният регламент е другаде – Етичен кодекс, Конституция, закони, практика на Конституционния съд, на Европейския съд по правата на човека и др. Вместо това законопроектът прави опит да дефинира журналистическото изразяване и се дават казуистично изброени критерии за преценка дали то не нарушава законодателството за защита на личните данни. Към тези критерии остава като самостоятелна позиция "други обстоятелства, относими към конкретния случай", което е твърде общо и оставя възможност за всякакви интерпретации. Това обезсмисля останалите критерии и на практика оставя преценката на добрата воля на надзорния орган, което в българския контекст на отношение власт – медии не е добра идея.
• Нещо повече, в проекта се е появил нов текст – чл. 25д, ал. 4, който дава ясни индикации, че КЗЛД ще извършва проверки в медии, като ще има правото на достъп до всички помещения на медията, до всяко оборудване и всяко средство за обработване на данни (т.е. до всеки компютър и друго техническо средство за предаване на данни), включително достъп до всички данни и до цялата информация, с едно-единствено изключение – комисията няма право да иска разкриване на източниците на информация.Текстът на чл. 25д, ал. 1 поставя сериозно въпроса за баланса между правото на изразяване и зщитата на личните данни и неприкосновеността на личния живот, казва адвокат Александър Кашъмов. Там се казва, че "обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот". Така, както е формулиран този текст, няма баланс, а императивно изискване за зачитане на правото на неприкосновен личен живот, независимо от останалите обстоятелства и критерии, казва Кашъмов. Подобен императив е резултат от неверен превод на директивата, където балансът е водещ принцип, казва той.
• Професионалната тайна остава незащитена
  На следващо място – въобще не е решен проблемът със защитата на професионалната тайна пак с оглед правомощието на КЗЛД да влиза в помещения, да има достъп до оборудване и да иска всички данни и информация. Проблемът бе остро поставен от адвокатите, тъй като те по закон са задължени да опазват тайната на клиента. Действително към чл. 12а, ал. 1 е добавено изречение, че когато при проверките на комисията и изискването на достъп може да се наруши задължение за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, то тогава администраторът на данни отказва да даде достъп, но само "до информацията, защитена като тайна". Съществуват цели информационни масиви, които представляват тайна, каквито са например адвокатските книжа по Закона за адвокатурата, това са делата на адвокатите, но същевременно вече има прецеденти на прекомерно упражняване на власт от КЗЛД спрямо адвокатите, казва адвокат Кашъмов. (Той има предвид натиска адвокатите да се регистрират като администратори на лични данни, ВАС обаче прие, че Законът за адвокатурата в случая е специален и това не е необходимо.) Според Кашъмов специално заради спецификата на адвокатските архиви, свързани с правото на защита на гражданите, би следвало целият този масив да е защитен от проверки, а не да се налага при всеки един случай да се обяснява защо е тайна, при положение че това е записано в закона.
• При всички положения работата по проекта в парламента ще започне след ваканцията, което означава, че ще има достатъчно време той да се прочете и осмисли от всеки, който може да бъде засегнат от новото законодателство.

Виж източник

• Стотици фирми се оказваха нарушители на Общия регламент за защита на личните данни (GDPR) заради спорни действия от страна на интернет гиганта Google. За това алармираха представители на рекламния бизнес, пише Reuters.
• Казусът се заплита след решението на Google да отложи влизането си в консорциум от компании, предлагащи реклама в интернет. Ходът на гиганта се отрази пряко и върху устрема на останалите членове да се съобразят с новите европейски правила, са споделили пред изданието шестима души, част от програмата.
• Те обръщат внимание, че някои фири са изложени на опасност от глоби. Най-застрашени са неосведомените собственици на уебсайтове и приложения, които получават приходи от реклама, насочена към тях според механизмите на Google. Според гиганта те са отговорни за това да предоставят на европейските си потребители опция за информирано съгласие за получаване на таргетирани търговски послания.
• Казусът показва нагледно как решенията на търсачката предизвикват каскада от последици в цялата рекламна индустрия. А тя е огромна – оценява се на 200 млрд. долара и за никого не е тайна, че е доминирана от бизнес звеното на Alphabet.

• Казусът

  Данните за идентификация на посетителите на даден уебсайт може да преминат през дузина компании по веригата преди дадена реклама да се зареди. Според изискванията на GDPR обаче всяка една от тях трябва да е получила съгласие от потребителя.
• На 25 май, когато Общият регламент влезе официално в сила, стотици компании за рекламни технологии близо месец вече използваха инструмент за потвърждение. На 22 май обаче Google изненадващо обяви, че няма да се присъедини към програмата на индустрията до август.
• Компанията разработи временно решение, което според мнозина е несъвършено и в резултат на това се оказва, че някои от клиентите на Google насочват реклами към потребители, които не са дали съгласието за персонализиран маркетинг.
• Към момента гигантът отказва да коментира въпроса. Известно е обаче, че нарушенията на правилата по GDPR се наказват строго. Най-плашеща за всички е потенциалната глоба в размер на до 4% от глобалните годишни приходи на фирмата. Все пак трябва да се има предвид, че опасността действително е залегнала в Регламента, но би се стоварила трудно върху бизнеса, ако той все пак полага усилия дейността му да е приведена към новите изисквания.
• Все пак действията на Google застрашават редица фирми. В тази връзка мениджъри настояват регулаторите да се съобразят с казуса и да вземат предвид, че търсачката не поддържа технологията на консорциума.

Виж източник