Стратегия за прилагане на изискванията на GDPR, регламент за защита на личните данни

От 25 май 2018 г. влезе в сила Регламентът за защита на личните данни (GDPR) на Европейския съюз. Той който дава по-голяма защита на личните данни. Прилага се за всяка организация, установена в ЕС или навсякъде по света. Стига тя да обработва лични данни на субектите на данни от ЕС когато:

им предлага стоки или услуги;

извършва мониторинг или проследяване на тяхното поведение.

Този регламент се отразява на начина, по който се управляват данните, отнасящи се до клиенти, потребители, партньори, персонал и други „субекти на данни”. Влияе върху съхраняването, обработването, достъпа, прехвърлянето и разкриването на записи с данни за физическо лице.

Технологиите за събиране на лични данни, профилиране и маркетинг достигнаха противоречиво ниво. То налага прилагане на мерките от GDPR с признаване на човешкото право за конфиденциалност. За да се запази доверието в цифровата икономика и неприкосновеността на личния живот на хората.

Спазването на GDPR означава:

• Компаниите са опознали и да се чувстват комфортно с концепциите за обща защита на данните;
• разбират ролята на корпорацията за конфиденциалността и неприкосновеността на личния живот;
• съзнават изискавнията на законността и сигурността при обработката на лични данни.

За целта трябва да изградят собствена Стратегия за прилагане на изискванията на GDPR

Предварителни условия за прилагане на изискванията на GDPR, регламент за защита на личните данни

За да изпълнят изискванията на регламента компаниите трябва да подходят с планиране.  То включва стъпките, които трябва да изминат, като се облегнат на:

• досега създадените условия по изискванията на ЗЗЛД и
• направят оценка на готовността си за допълнителни промени,

които е необходимо да са налице за да се изпълнят изискванията на GDPR.

Подготвителни дейности

Формирането на корпоративна визия за дейностите по привеждане в съответствие с GDPR може да се постигне:

с привличане на външни консултантски услуги или;

с акумулиране на корпоративни компетенции по темата, тоест със собствени сили.

Двата варианта се базират на познаване на духа и буквата на регламента. Вторият изрично указва провеждане на непрекъснато обучение на служителите, длъжностното лице по защитата на данните (DPO) и обработващите данни.

Опитът от подобни организационни и технологични трансформации показва необходимостта от предварително обучение на висшия експертен ешелон в компаниите, тъй като тези служители са в състояние да задвижат процесите, чрез които да се въведат в действие изискванията на регламента.

За да се изгради правилна корпоративна стратегия за прилагане на изискванията на GDPR е необходимо ключовите служители в компанията да са обучени в подробности за спазването на този регламент, тъй като силата му е на закон. Стратегията за прилагане на изискванията на GDPR включва и непрекъснато провеждане на обучения във времето, които да обхващат от една страна промените при постоянното издаване на нови делегирани документи, които са свързани с GDPR, ePrivacy, Police Directive, а от друга вътрешно корпоративна страна организационните правила и техническата среда, информационните системи в компанията.

Цикълът от курсове, които „Виртуални системи“ ЕООД предлага, е предназначен за обучение на:

• експертите на ръководни длъжности, които са отговорни за привеждането на организациите в съответствие с GDPR, Длъжностното лице по защита на данните (ДЛЗД), обработващите лични данни, администраторите на лични данни;
• специалистите, които разработват стратегиите за сигурност на информационните технологии и комуникациите (ИКТ) в организациите, техническите кадри, отговарящи за инциденти по сигурността;
• системните администратори, които конфигурират защитата и поддържат в изправност мрежите, операционните системи и всички останали активни устройства в средата от информационни и комуникационни технологии;
• разработчици на софтуер, които проектират, програмират , тестват и внедряват в редовна експлоатация информационните системи.

Обхватът на темите включва комплекс от лекции и практически упражнения за GDPR, и необходимите за задълбоченото му разбиране знания, които в самия регламент се откриват в компетентностния модел на ДЛЗД:

• управление на активите, отчетност на данните, управление на конфигурацията от ИКТ;
• рисковете за нарушаване на правата на субектите на данни при инциденти със сигурността;
• кибер сигурност на ИКТ, дейността на екипите за реагиране при компютърни инциденти;
• нормативна уредба: GDPR, делегирани документи, казуси от правния мир; създаване и съпровод на комплект от документи, чрез които се управлява непрекъснатия процес за съответствие с регламента, възможности за повторно използване (re-usage) на постигнатите съответствия с други стандарти, например ISO 27xxx или PCI-DSS.

Стратегията за прилагане на изискванията на GDPR включва управлението на кибер риска, което и досега остава скрито за повечето ръководители на ниво С. Причините за това се крият в липсата на организирани комуникации между техническите звена, които развиват и съпровождат информационните системи и комуникационни връзки в организациите. Накратко системните администратори не си говорят с мениджмънта. Това твърдение все пак важи за малките компании. С появата на GDPR всяка компания, водена от главния изпълнителен директор или ключови служители, трябва бързо да се акумулира експертиза  и да се научи да интегрира уменията за респект към субектите на личните данни и да съобрази технологиите, които прилага в ежедневните операции по обработване на лични данни. Непрекъснатото обучение и периодичните прегледи на състоянието на спазване на изискванията на GDPR и споменатите други регламенти са основните организационни стъпки, които да дадат възможност компанията да предотврати последствията.

Разработена само до нивото организационни и документални мерки Стратегия за прилагане на изискванията на GDPR може да запази компанията единствено при административни проверки от страна на националния орган.

Оценка на готовността за въвеждане на GDPR

Тази оценка може да се направи в синхрон с цялостна стратегия за защита на данните.

Личните данни са в синергия с много други видове данни в компанията. Документирането по повод на GDPR ще бъде формално и трудно ще защити корпорацията от злонамерените актьори, които си осигуряват облаги по престъпен начин, чрез рафинирани технически способи за проникване в корпоративните информационни системи и източване на данните.

Повечето стратегии за защита на данните (не само на личните), са фокусирани само върху данните на самото предприятие, които са управлявани от IT инфраструктурата на самата организация, а не се обръща внимание на външните данни.

Защо има несъответствие? Причините са няколко, включително и това, че повечето стратегии за защита на данните са проектирани така, че да отговарят на изискванията, свързани с поверителността и е възможно да изключат данни, които са свързани със защита на сигурността на данните, които са изложени онлайн. Друга причина е, че повечето организации не разполагат с подробен списък на данните, които притежават или обработват, включително и интелектуалната им собственост (IP). А точно липсата на такъв опис пречи на разработването на цялостната стратегия.

За да бъде ефективна стратегията за защита на данните, то те трябва да са представени като интелектуален актив. Такава стратегия не бива да се занимава само с данните и информацията, които са предписани, защото това може да доведе до загуба на приходи или репутация, ако се злоупотреби или открадне от организацията. А такъв тип информация може да включва официална интелектуална собственост като –  патенти, материали с авторски права, търговски марки. Може да съдържа и неофициална такава – програмни соурс кодове, оперативни процедури, ръководства и политики за потребители, включително и други писмени материали на компанията, като бележки, доклади и планове. Тези продукти не се разглеждат като типични примери за интелектуална собственост, но тяхната загуба или изопачаване, могат много да навредят на репутацията и бизнеса на всяка една организация.

Мислейки за неформалната интелектуална собственост, трябва да имаме предвид следното: фирмената география, хората и инфраструктурата на дадена организация, може да разкрива много повече данни, отколкото предполагаме. И тогава се появява „конкурентното разузнаване“. Като всяка от предходните информации гарантира контроли за защита. В крайна сметка, дадена организация може да публикува презентация в своя сайт или на Slide-Share.net, която да съдържа вътрешна информация, само за да се появи в презентацията на свой конкурент. Всяка една ефективна стратегия за защита на данните, обръща внимание на информацията , не само на данните, били те обработени или не.