Криптиране на данните и GDPR

Британският надзорен орган за защита на данните (ICO) публикува подробни указания за криптирането от гледна точка на прилагане на GDPR. Общият регламент изисква прилагане на подходящи технически и организационни мерки, за да се осигури недеждно обработване на личните данни.

Принципът за сигурност на регламента изисква администраторите да въведат подходящи технически и организационни мерки, за да са сигурни, че обработват личните данни безопасно.

Член 32 от GDPR включва криптиране като пример за подходяща техническа мярка, в зависимост от естеството и рисковете на вашите обработващи дейности.

Член 32

Сигурност на обработването

1.Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a) псевдонимизация и криптиране на личните данни;

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2.При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3.Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

4.Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

Криптирането е широкодостъпна мярка с относително ниски разходи за изпълнение. Налице е голямо разнообразие от решения.

Трябва да имате политика на криптиране, която да урежда как и кога въвеждате криптиране, и трябва също така да обучите своя персонал в използването и важността на криптирането, се казва в указанията на регулатора.

Криптирането е средство за предпазване от неразрешено или незаконно обработване на лични данни и е един от начините, по които можете да докажете спазването на принципа за сигурност.

Какви видове криптиране има?

Двата вида криптиране се използват масово –  симетрично и асиметрично криптиране.

При симетрично криптиране един и същ ключ се използва за криптиране и декриптиране. Обратно, при асиметрично криптиране се използват различни ключове за криптиране и декриптиране.

При използване на симетрично криптиране е от решаващо значение са гаранциите, че ключът се прехвърля сигурно.

Можете да споделите: