GDPR в рамките на модел на споделена отговорност

Помощен център

GDPR в рамките на модел на споделена отговорност

25 май 2018 бележи влизането в сила на GDPR, с което ще настъпят и много промени що се отнася до процесите, които компаниите извършват свързани пряко с обработването на личните данни на своите клиенти.

Като администратор на лични данни, ние от ICN.Bg предприехме мерки още през 2016, за да сме сигурни, че ще изпълним изискванията на Общия регламен за защита на данните. За нас винаги е било важно да предлагаме най-високо ниво на защита за нашите клиенти.

В следващите редове ще ви запознаем с отговорностите, които ние поемаме като администратор спрямо данните на нашите клиенти, и също ще имате възможността да научите повече какви са отговорностите на нашите клиенти.

Сертифицирахме се по ISO/IEC

През 2017 се сертифицирахме по ISO/IEC 27001:2017 - международен стандарт за информационна сигурност. Този сертификат е насочен специално към управление и повишаване сигурността на данните. Самията сертификат покрива голяма част от изискванията на GDPR.

Също така сме сертифицирани и по ISO/IEC 9001:2015 – стандарт за качество на услугата.

Използване на личните данни

Едно от основните изисквания на GDPR е предоставяне на информация защо се събират личните данни и как се използват. За да закупи продукт или услуга от ICN.bg клиента трябва да създаде собствен потребителски профил като за целта трябва да предостави минимално количество лични данни – две имена, имейл, телефон, населено място.

За да получават полезна информация и промоционални оферти, всички клиенти на ICN.Bg трябва да изразят съгласието си чрез имейлът за получаване на съгласие или чрез формата за абониране. Разбира се, спрямо правилата на GDPR всеки клиенти трябва да има възможността да се отпише от дадена мейл листа също толкова лесно, колкото и да се впише. Затова Отписването от получаването на маркетинг имейли е абсолютно гарантирано при връщане на отговор със съдържание unsubscribe.

При отписване от получаване на маркетингови имейли единствената информация, която тези клиенти ще получават от нас ще бъде пряко свързана с работата на закупените от тях услуги – например, информация от техническа поддръжка за превишаване на ресурсите на хостинга или информация за планирана профилактика на хостинг сървъра.

Ние използваме конктактния имейл и телефон за удостоверяване собствеността на акаунта като основание да предоставим информация или да окажем техническа поддръжка. IP адреса на клиента може да бъде поискан при оказването на техническа поддръжка – като диагностициране на проблеми при свързаност, блокиране в защитна стена на сървър и т.н. Използваме личните данни за контакт със собственика на акаунта при проблем с работата на сайта (хакване, превишаване на параметри, изпращане на спам и др.).

Механизми за управление на лични данни в ICN.bg

Във връзка с предоставените от GDPR права на субектите на данни създадохме механизми за управление на личните данни, които ще представим в две отделни статии:

Механизъм за предоставяне на лични данни в ICN.bg

Механизъм за изтриване на лични данни в ICN.bg

Длъжностно лице по защита на данните (DPO)

Във връзка с изискванията на GDPR определихме компетентно длъжностно лице, което има грижата данните на нашите клиенти да бъдат максимално защитени. Също така служителят ще следи личните данни да бъдат коректно управлявани и ще обучава служителите ни относно изискванията на регламента.

Модел на споделена отговорност

Като администратор на лични данни, ICN.Bg изпълнява всички изисквания на GDPR относно управлението на личните данни на нашите клиенти.

Като обработващ данни обаче ние имаме задължение към нашите клиенти да им осигурим сигурна сървърна среда за личните данни както на тях самите, така и на потребителите на техните сайтове, които може да решат да се регистрират в електронен магазин, да се регистрират за бюлетин или за изгегляне на файлове и т.н.

В това се състои споделената отговорност – ние се грижим за данните на нашите клиенти и осигуряваме работеща и сигурна услуга, а нашите клиенти имат грижата върху предоставената от нас сигурна платформа да защитават данните на клиентите и потребителите на техните сайтове.

Какви са нашите отговорности спрямо услугите, които предлагаме?

ICN.Bg е доставчик на няколко различни типа услуги и трябва да направим важно разграничение, че инфраструктурата която предоставяме за всяка една услуга е различна и съответно имаме различен контрол върху нея.

При споделен хостинг се грижим в най-голяма степен сървъра да работи в оптимален режим, актуализираме сървърния софтуер, следим информацията за отделните процеси чрез мониторинг система, имаме грижата за създаване на архиви, следим за изпращане на спам, следим за претоварване на сървъра от хакнати или неоптимизирани сайтове и др.

При услугата нает сървър имаме грижата да осигурим технически изправна машина с проверен хардуер, която да бъде доставена в дата центъра и свързана коректно към захранване и интернет мрежа, както и да предоставим пълен root достъп на клиента до сървъра.

Услугата Cloud сървър ползва най-модерната технология – при нея следим дискови масиви, виртуализация, ресурси, свързаност, контролен панел и т.н.

При услугата колокация нашите ангажименти се изчерпват с включване на машината към захранване и интернет мрежа.

Като администратор на лични данни ICN.Bg изпълнява всички изисквания на GDPR регламента относно законното придобиване на данните, сигурността на данните и спазване правата на потребителите при обработване на данните.

Отговорност на клиента е сигурността и обработката на личните данни на неговите клиенти

Можем да ви дадем няколко примера за добри практики при защитата на лични данни на вашите клиенти:

  • Получаване на съгласие в съответствие с GDPR;
  • Структура на базата данни и криптиране на определени лични данни;
  • Актуализиране на използваните софтуерни приложения (update);
  • Използване на SSL имейл акаунт за комуникация;
  • Използване на FTPS при трансфер на файлове;
  • Използване на HTTPS протокол;
  • Използване на комплексни и сигурни пароли;

Препоръчаме използване на двустъпкова верификация (two-factor authentication, 2FA) при логване, винаги, когато това е възможно.

Отговорност на клиента е също сигурността на неговия персонален компютър, ако пази архивни копия на файловете и базите данни на сайтовете.

Ако ползвате плъгин или допълнителен компонент към CMS сайт за изпращане на бюлетин, например, задължително трябва да проверите политиката на разработчиците дали изпълнява новите изисквания на GDPR и дали извършва операции с личните данни на регистрираните потребители.