ПРАВИЛНИЯТ ПОДХОД ЗА ВНЕДРЯВАНЕ НА ИЗИСКВАНИЯТА НА GDPR

Проактивната стратегия за съответствие с GDPR намалява рисковете за бизнеса

Проактивната стратегия за съответствие с GDPR намалява рисковете за бизнеса

може да се избере след като се видят различни варианти за

стратегия за внедряване на GDPR

Всеки бизнес е различен и има специфични организационни процеси, в рамките на които по различен начин се обработват лични данни. Внедряването на изискванията на GDPR е свързано с промяна в мисленето. На преразглеждане подлежат организационните процеси в компаниите. Вече е необходимо и непрекъснато спазване на изискванията на регламента и делегираните му документи – методики, инструкции, съдебни решения. Това означава поддържане на актуално състояние на съответствието във времето и управление на промените. Появата на този регламент е следствие от рисковете за субектите на данни, които се появиха с цифровизирането на всички области от живота. Същевременно се увеличиха и рисковете за бизнеса, тъй като компрометирането на данните често води до тежки загуби за него.

Личните данните са недооценен актив, потенциалът на който изведе много компании на върхови пазарни позиции

Обработването на личните данни в компания, която например подава автомобили, е различно от особеностите в туристическия бранш. Боравенето с лични данни в институциите или здравните заведения пък са подчинено на отделни специфични схеми.
Поради горните причини не съществува универсално решение за прилагане на изискванията на GDPR.
Подготовката на организацията за въвеждане на изискванията на GDPR може да се различава в зависимост от:

  • индустриалния сектор;
  • видовете данни, които се обработват;
  • връзките с изисквания за опазване на лични данни в други регламенти за сектора.

Например здравни или биометрични данни, които са обект на по-строги изисквания, както и съществуващи налични в организацията политики и програми.
Материята в регламента е сложна и изисква задълбочено познаване на:

  • международното право;
  • техническите аспекти на сигурността на информационните технологии;
  • регламентите, които касаят обработването на лични данни.

Съществуват много инструкции и напътствия как да се проведе операцията по привеждане на организацията в съответствие с изискванията на GDPR. Натрупаният от екипа ни опит вече показа, че основен момент в този процес е правилната му инициализация, която често е силно затруднена, поради сложността на материята.
Началото на подготовката за внедряване на GDPR се осъществява с

формиране на разбиране за същността на изискванията на GDPR в управленческия екип на организацията

За да се формира такава визия е необходимо тези служители, подбрани измежду ръководния екип на компанията, да преминат обучение. Този ход ще даде възможност да се трансферира ноухау в компанията и на базата на докладите на обучените служители да се вземе информирано решение.
Разбирането на духа на GDPR от страна на ръководния състав на компанията e залогът за промяната в начините на обработване на личните данни, тъй като те засягат всички ангажирани служители.

Когато ръководните служители са подготвени и разбират концепциите в GDPR те могат ефективно да управляват корпоративните политики за прилагането на регламента и трансфера на ноу хау от Длъжностното лице по защита на данните (DPO) към различните звена в организацията, обучението и работата на обработващите данни, мерките при предаване на лични данни на трети страни.

 

Опитът от дългогодишни проекти за конструиране на сигурността на информационни системи и комуникационни технологии показва две крайни състояния на стратегиите за внедряване на сигурност.

Реактивна стратегия за съответствие с GDPR

В единия край на спектъра от състояния се намира класът реактивни стратегии. Реактивната стратегия се отличава с мерки, които се вземат постфактум. След като са открити слабости в сигурността и то най-често по повод инциденти с изтичане на лични данни или блокиране на бизнеса заради хакерски атаки върху информационните му системи. Характерните черти за този клас стратегии са следните:

  • мерки за защита на софтуерните приложения се вземат чак след като се открие инцидент със сигурността им. Разбере се например, че даден сайт е хакнат, тоест компрометиран от злонамерени актьори; стига се до състояние в което данните, с които борави организацията  са недостъпни и може да бъдат отключени срещу откуп;
  • мерки за защитата на операционните системи или базите данни се вземат след като се разбере, че от тях изтичат данни. Или още по-късно, след като данните са намерени на пазара в даркнет. Тъмният интернет е затворен за широката публика и в него се търгуват и лични данни;
  • мерки за защита се вземат едва след като пострадали компании или субекти на лични данни са подали оплаквания или искове за нанесени щети;
  • дейности и мероприятия за защита на личните данни и за съответствие с GDPR се изпълняват след административни проверки, според предписанията на проверяващите;
  • ъпдейти се налагат след хакване на приложенията. Операционните системи се конфигурират след като се открият нашественици в тях. Антивирусните системи се инсталират след като операционните системи се затлачан с вируси…

Съществуват още много характерни черти на реактивната стратегия за сигурност на информационните технологии и на личните данни…

Рискове при прилагане на реактивна стратегия

Реактивната стратегия за защита на личните данни е носител на възможно най-пълната гама от рискове за бизнеса. Този вид стратегия рядко може да се открие прилагана съзнателно. Прилагането и е почти винаги е непреднамерено и се дължи на много обстоятелства. Дълго време липсваха регулаторни изисквания за сигурността на цифровите технологии изобщо. Тъй като производителите си спестяваха ресурсите за създаване на сигурност в продуктите си, то те изостанаха от хакерите. Последните пък развиват собствените си инструменти с изключителни темпове и на фантастични технологични нива.  Последствията от тези процеси са липса на корпоративна култура за инкорпориране на сигурност в организационните процеси и технологичните решения.

Резултатите от осъществените рискове вследствие на реактивната стратегия за прилагане на GDPR може де се видят:

  • налагане на санкции от институциите;
  • глоби;
  • изплащане на обезщетения от съдебни решения вследствие искове на субекти на лични данни
  • загуба на престиж за компанията;
  • компрометиране на продукт;

Проактивната стратегия за прилагане на GDPR

Отличава се със следните признаци:

Проактивната стратегия за сигурност на информационните системи и за сигурност на личните данни е органична част от корпоративната култура;

  • съществува в стратегическите документи за развитие на бизнеса на компанията за;
  • ръководството на компанията следи внимателно състоянието на спазването на изискванията на законите за защита на личните данни и изпреварващо управлява процесите по осъществяване на мерките за защита на сигурността и на личните данни;
  • техническите мерки се отличават с актуални решения, които независимо дали с безплатни или скъпи са ефективни;
  • организационните мерки съответстват на нивото на риска, които е поносим за бизнеса;

Проактивната стратегия за сигурноста на личните данни се отличава с:

  • непрекъснатото поддържане на компетенциите на служителите чрез обучение,
  • активна работа на DPO с институциите и вътрешните звена на компанията,
  • периодични одити на състоянието на сигурността;
  • актуализиране на DPIA – оценката на въздействието на защитата на личните данни.

Предимствата на този вид стратегия са следните:

  • минимизиране на рисковете за бизнеса;
  • готовност за отговор и правилни действия при установяване на инцидент с изтичане на лични данни;
  • при взети подходящи превантивни мерки на ранните етапи GDPR диктува отчитане на това внимание при определяне на наказанието;
  • подходящо ниво на защитата на личните данни, поради адекватна оценка на риска в DPIA.

 

Hits: 854