От 26 май тази година обработката и съхраняването на лични данни във всяка организация подлежат на нова регулация – Общия регламент за защита на личните данни, или накратко GDPR, която изисква много по-стриктно опазване на деликатната лична информация. За пробив в защитата ѝ санкциите са огромни за мащаба и възможностите на повечето български фирми.
За да се подготвят за промяната, организациите могат отсега да предприемат редица стъпки, така че на 26 май да бъдат в съответствие с новия общоевропейски норматив. Най-важното в тази подготовка е участието на висшето ръководство на организацията.
Подобно на внедряването на ERP и CRM системи в бизнеса, нововъведението няма как да е сполучливо, ако в промяната не е ангажирано ръководството. Заедно с активното участие на топ-мениджмънта е важно да се формират екип и план за действие.
План за действие
Шест са ключовите стъпки, които е необходимо да извърви всяка организация в прехода към GDPR.
1. Ангажиране на висшето ръководство. От това зависи успехът на проекта за привеждане на организацията в съответствие с изискванията на новия европейски регламент.
2. Сформиране на екип. В него трябва да участват непременно няколко ключови позиции: юрист на организацията, ИТ ръководител, мениджър по съответствието с нормативната база („compliance manager”), специалист по сигурността, представител на финансов отдел, ръководител човешки ресурси.
3. План: какво и как ще се адресира. Този план следва да включва:
– вземане на решение за изработване на т.нар. „GAP анализ” – установяване на несъответствията между текущото състояние на организацията спрямо изискванията на регламента, дефинирани чрез локалния закон за личните данни, отразяващ GDPR;
– определяне дали „GAP анализът” ще се осъществява вътрешно, само от екипа на организацията, или от външни консултанти. В идеалния случай се прилага комбинация от двата подхода. Външните консултанти имат съществено предимство: те насочват вниманието към важните въпроси. Вътрешният екип пък се състои от специалисти, който най-точно могат да отговорят на въпросите.
– реализация на „GAP анализа”. Тя зависи от размера на организацията и количеството на системите, които обработват лични данни.
– изготвяне на доклад с несъответствията – и препоръки как тези несъответствия да се преодолеят. За всяко отклонение от изискванията може да има една или няколко препоръки.
4. Внедряване на препоръките от GAP анализа. Това е дълъг процес, който е много специфичен за всяка организация – в зависимост от откритите несъответствия, от степента на автоматизация на процесите, от наличните ресурси.
5. Обучение. Във всяка организация следва да се проведе подготовка на екипа за работа в условията на новата регулация. Тренингът е желателно да има 2 части:
– Първата е „общообразователна” за всички служители на организацията, за да бъдат запознати с основните положения в опазването на личните данни и да са наясно какво трябва и какво не трябва да правят по отношение лични данни, съхранявани и обработвани във фирмата. Служителите трябва да са запознати с въпроси като що е лични данни, как следва да се отнасяме към тях, какво не бива да правим, кои са специфичните дейности за защита на данните.
– Второто обучение е за специализиран екип на организацията. Той включва специалиста, назначен за отговорник по личните данни (DPO), и всички, които работят в тясно сътрудничество с него. Заедно те трябва да преминат през подготовка за своите права и задължения в боравенето с лични данни, извършването на регулярни дейности, вътрешно проверяване на нивото на квалификация, взаимодействие с контролните органи – включително права и задължение при работа с регулаторите.
Второто обучение е с неотменима важност за организациите, които назначават собствен отговорник по личните данни (DPO). При работа по договор с външен DPO е важно да бъде установено нивото на квалификация на специалиста. В случая организациите трябва да са наясно с неговите професионални качества и по-специално с експертните му познания в областта на законодателството и практиките за защитата на данните.
Всяка организация сама преценява доколко определено лице отговаря на тези изисквания, уточняват от Комисията за защита на личните данни. Новият регламент не предвижда специални изисквания за професионална квалификация. „Предвид сложността на задачите, които ДЗЛД трябва да изпълнява, се препоръчва лицето да има подходящи познания както в областта на защитата на личните данни, така и в сферата, в която ще работи”, уточняват от българския регулатор.
6. Оценка на въздействието на потенциален пробив. След подготовката на служителите на организацията е важно да се изчислят потенциалните поражения за организацията при евентуална загуба на лични данни или пробив в защитата им. „Добра стъпка в тази оценка е да се прецени дали организацията не събира прекалено голямо количество лични данни, които не са действително необходими”, съветва Вихрен Славчев, управител на Мнемоника.
Оценката на въздействието е отделен процес, който се провежда отново с участието на голяма група специалисти от фирмата – финансист, юрист, HR специалист, експерт по сигурността. Това може да е същата група, която реализира цялостния план за действие, но при оценката се използват специфични въпросници и методика”, обяснява Славчев.
„Наличието на логове е от повратно значение за опазването на личните данни”, казва Вихрен Славчев, управител на Мнемоника
Оценката е пряко свързана и с размера на санкциите, които ще търпи организацията при пробив. Ако организацията представлява част от група – например, от холдингова организация или консорциум, то важно е да се оцени и какво ще е влиянието върху групата от потенциален пробив.
Такава оценка на въздействието следва да се извършва регулярно: на всеки две години.
Автоматизация
Доколкото в повечето организации личните данни „живеят” в дигитални системи, то работата на мнозина е до известна степен облекчена. За много от тези системи има налични средства за електронна защита. Организациите могат с едно или няколко технологични решения да защитят събираната и съхранявана лична информация и да сведат до минимум вероятността за допускане на човешка грешка.
„Важно е да има регистър на всички дейности и да се пазят т. нар. логове”, съветва още Славчев. Като консултант именно в областта на сигурността и защитата на данните екипът на Мнемоника горещо препоръчва съхраняването на логове. „Наличието им е от повратно значение за опазването на личните данни”.
Наред с това дигиталните технологии позволяват и някои удобства при прехода към GDPR и спазването на неговите изисквания. Мнемоника е разработила серия от инструменти в помощ на отговорниците по личните данни. Това включва календар-асистент, който помага с напомняния кога и какво трябва да се извърши във връзка си изискванията на GDPR, система за уведомления, както и инструмент за самоподготовка за DPO.
Подводни ями
Предвид общоевропейския характер на новата регулация, усложненията в нейното прилагане са относително малко.
Най-големият риск при въвеждането на GDPR е подценяването на сериозността на процеса от страна на ръководството. Подобно на всяка критична система за управление на бизнеса, незаинтересоваността от страна на мениджмънта е обещание за „претупване” на задълженията. Това обаче може да донесе чудовищни последици. Пробивът в личните данни е в състояние да съсипе живота на хиляди хора, а за самата организация санкциите са в размер на 20 милиона евро или до 4% от годишния оборот за предходната финансова година.
Несериозното отношение на членовете на екипа към задълженията им по GDPR също е подводна яма. Повърхностното изпълнение на задълженията излага организацията на риск да ощети своите потребители и партньори – с всички произтичащи от това негативи.
Фокусирането върху средствата за автоматизация, вместо върху същността на промяната, е друга потенциална опасност. Дигиталните технологии са само инструмент, средство за постигането на цели и задачи, които трябва да са ясно дефинирани извън контекста на компютърните технологии.
Статията е подготвена съвместно с екип на Мнемоника – консултантска компания, работеща в областта на кибер сигурността и защитата на данните, с над 600 успешно реализирани проекта за над 100 организации.
