Нов регламент за защита на личните данни и огромна глоба. Европейският парламент привлече вниманието на бизнеса с изречение от новия регламент за защита на личните данни, според което "глобата е 20 млн. евро, или 4% от оборота, което от двете е по-високо". Сумата прозвуча толкова абсурдно, че повечето компании прецениха, че това едва ли се отнася до тях. В резултат предимно най-големите фирми с бизнес в ЕС предприеха действия, за да отговорят на изискванията на регламента, въпреки че обхватът е значително по-мащабен. Все още има време и за по-малките и средните компании да предприемат стъпки в правилната посока.

Клиентът е цар

Новата регулация е позната основно като GDPR (General Data Protection Regulation). В обхвата й са включени всички компании, които под някаква форма събират или използват лични данни на клиенти от ЕС. Малките и средните бизнеси също са засегнати, като са предвидени специални облекчения за намаляване на административния товар.

И досега надзорът върху администраторите на лични данни беше строг, но с новите правила, въвеждани от GDPR, гражданите ще имат повече контрол върху това кой има достъп до техните данни. Част от новите мерки включват събиране на изрично писмено съгласие от субектите за съхранение и обработка на техните данни в определени случаи. Също така всяко изтичане на лична информация трябва да бъде обявено пред регулатора. Най-съществената промяна обаче е правото на клиента да бъде забравен, или с други думи - да поиска компаниите, които нямат правно основание да държат техни данни, да ги изтрият.

Обратното броене (отдавна) започна

GDPR регулацията влиза в сила от 25.05.2018 г. Това означава, че времето за подготовка може да не е достатъчно за повечето бизнеси. Особено за тези, които досега са пренебрегвали създаването на практика и политика за управление на данните за клиента. Изключение са фирмите, сертифицирани по ISO 27001 (управление на сигурността на данните), защото би трябвало да отговарят на повечето основни изисквания на регулацията.

В инфографиката към текста са описани накратко основните стъпки, чието изпълнение всяка компания би трябвало да предвиди, за да се подготви за GDPR.

#1 Буквата на закона

Първата основна стъпка при подготовката за GDPR е осигуряване на адекватна информация и консултация за степента, до която регулацията засяга конкретната компания и дейност. Най-често експертна оценка може да се получи от компетентен юрист (вътрешен или външен за компанията), като неговото становище е добра отправна точка за съставянето на план как да се комуникира темата и доколко да се ангажират отделните звена във фирмата.

Всички нива на управление в компанията могат да бъдат полезни при дефиниране на отделни функции, които трябва да бъдат създадени или променени, за да се отговори на GDPR изискванията, както, разбира се, при съставянето на времеви план и определянето на необходимите ресурси за неговото изпълнение. В общия случай компаниите би трябвало да ангажират правния отдел (или партньорската компания, която ги обслужва правно), ИТ отдела и екипа, който обслужва клиентите (фронт офис). Внимателното планиране кой, какво и как ще направи, за да се постигне съответствието, ще позволи контрол на разходите по изпълнение на плана и ще предотврати разпиляване на ценно време в грешна посока.

#2 Идентифициране на източниците и потребителите на данни

Голяма част от компаниите имат повече от един източник на лични данни и повече от един процес, който включва работа с тези данни. Анализът и документирането на процесите на движение на данните вътре в организацията може да бъдат изпълнени под формата на вътрешен одит. Тази стъпка, задължителна част от процеса на подготовка за съответствие с GDPR, включва най-малко подготовката и изпълнението на действията по детайлно описание и документиране на съхраняваните данни. На основата на коректно документирани процеси по обработване на данни компанията може да планира въвеждане и спазване на ефективни практики за работа с лични данни, като част от стратегия за изпълнение изискванията на GDPR регулацията.

#3 План за действие

След установяване на текущото състояние на политиките и процесите, свързани с обработката на лични данни, би следвало да се продължи с адаптирането им към изискванията на GDPR регулацията. Полезен инструмент в този момент е подготвен от екипа план за действие, чиято цел е да се опишат начините, по които ще се адресират констатираните при анализа пропуски и несъответствия. Планът отговаря на въпросите какво точно ще бъде бъдещото състояние на процесите, при което ще се постига и поддържа съответствието с GDPR регулацията. Внимателното съгласуване на плана за действие с всички заинтересовани от неговото изпълнение страни ще позволи да се избегнат конфликтни стъпки в процесите.

#4 Изпълнението на плана от стъпка #3

Както всеки план, който минава от фаза на приемане към фаза на изпълнение, и в този случай се изисква внимание и наблюдение и постигане на добър баланс между използването на вътрешни за компанията ресурси и външна компетентност. Практиката показва, че най-често планът за действие адресира пропуски в две основни направления: липса на техническа обезпеченост, като например софтуер за сигурно съхранение, управление и наблюдение на достъпа до данните, и политики, които не успяват адекватно или в съответствие с GDPR регулацията да определят правилата при работа с лични данни.

Пример за предизвикателство пред компаниите е осигуряването на изрично писмено съгласие за обработка на данните на клиента в специфични случаи - спазването на това изискване може да означава въвеждане на нова практика за документиране на съгласието по начин, който не забавя или затруднява основните процеси във фирмата.

#5 Постоянно на фокус

Внедряването на необходимите промени и достигането до състояние на процесите, което да съответства на GDPR регулацията, е само началото. Поддържането на съответствие изисква усилия за постоянно подобряване на защитата на лични данни в компанията. Наблюдението на променените процеси може да бъде значително улеснено със специални софтуерни инструменти, които да осигурят толкова необходимия контрол, включително и върху риска от човешка грешка.

Подводни камъни

Спазването на всички предвидени в регулацията права на гражданите на ЕС може да бъде неочаквано сериозно предизвикателство пред компаниите. Пример за това е въведеното право на човек да поиска от компанията да предостави всички данни, които има за него, в електронен формат и в срок от 1 месец. Безвъзмездно. Краткият срок може да е предизвикателство за бизнес, който съхранява информация на хартиен носител или в непопулярен формат, както и за компания, която би получила множество подобни запитвания.

Под зоркото око на КЗЛД

В България прилагането на регулацията е в ресора на Комисия за защита на личните данни. Компаниите ще трябва да изпращат информация до комисията за констатирани нарушения в сигурността, свързани с личните данни, при това в рамките на 72 часа. Краткият срок изисква създаване на специфични и ефективни процеси за идентифициране, комуникиране и справяне с пробивите в сигурността на личните данни. Отговор на подобно предизвикателство може да бъде намерен в дигитализация на процеса на управление на информационната сигурност.

Назначаване на пазител на данните

Необходимо, а за някои фирми задължително, е да се определи длъжностно лице, което да отговаря за спазването на политиките, свързани със защита на данните. Този човек може да е както вътрешен за организацията, така и нает отвън компетентен консултант.

Партньорства

Разбирането и подготовката за GDPR са предизвикателство за много от местните компании. Предвид спецификите на материята, необходимите промени могат да бъдат превърнати от задължителни в полезни за бизнеса. Когато компанията иска да подобри капацитета си в процеса на подготовка или изпълнение на промените, може да ангажира юридически или технически експерти в областта на защитата на личните данни, с което да отговори и на още едно предизвикателство освен това за комплексността на материята - краткият срок между днешния ден и датата, след която може да бъде нарушител, застрашен от глоби. 

*Статията е препечатана от "Капитал"

Източник: legalworld.bg