вторник, 17 юли 2018  RSS
    Барометър | Региони | Компании | Лица | Назначения


    10574 прочитания

    Кои са основните моменти в подготовката за съответствие с GDPR?

    За ключовите дейности, които компаниите трябва да предприемат, вижте какво споделя Георги Средков, управляващ съдружник в ICO Bulgaria
    15 февруари 2018, 11:51 a+ a- a

    От 25 май 2018 ще започне да се прилага Регламент (ЕС) 2016/679. Той касае защитата на физическите лица във връзка с обработването на лични данни и поставя редица изисквания към бизнеса. През какви етапи преминава подготовката на една компания и кои са основните дейности, които трябва да бъдат застъпени? Какво обхваща жизненият цикъл на данните? Какво представляват Data Mapping и Data Flow? С тези и други въпроси се обърнахме към Георги Средков, управляващ съдружник в ICO Bulgaria. Г-н Средков също така е CISO и GDPR Data Protection officer във Виваком и има над 25 години опит в банковата сфера и информационните технологии, от които над 13 години като директор. Вижте какво сподели той пред екипа на Economy.bg:

    Г-н Средков, през какви етапи трябва да премине подготовката на една компания за съответствие с изискванията на Общия регламент за защита на личните данни?
    Трябва да извърви и да подготви редица дейности, които условно могат да бъдат дефинирани в четири етапа. Етап първи съдържа подготвителни дейности, етап 2 - инвентаризация и анализ, етап 3 - разработки и внедряване и етап четири - мониторинг и подобряване. Един  от най-важните етапи е вторият – инвентаризация и анализ. Има фирми, които имат внедрени стандарти - 27001, стандарт за управление на риска, стандарт за управление на качеството. Всичко това помага.

    Какво обхващат подготвителните дейности?
    Може съвсем отговорно да се каже, че внедряването на изискванията на Регламента е стратегически проект за всяка една компания предвид мащабността на изискванията и предвид респективно максималните санкции. Подготвителните дейности най-общо включват: избор на ръководител на проекта „Внедряване на изискванията и постигане на съответствие“, който да организира, планира, координира и възлага отчитането на резултатите. Второто изключително важно нещо, което се препоръчва, е избор на длъжностно лице по защита на данните, по-популярно като Data Protection Officer. Тук попадат още създаване на действащ Комитет по внедряването на изискванията на GDPR, включващ мениджърите на ключовите отдели в компанията; даване на мандат от висшето ръководство и провеждане на въвеждаща работна среща за Регламент 2016/679 и запознаване с планираните дейности.

    Защо се препоръчва избор на DPO на толкова ранен етап?
    Важно е лицето да бъде номинирано още при самото стартиране на проекта, защото по този начин ще може постепенно, успоредно с внедряването на проекта, да си изясни всички бизнес процеси в компанията. Ще може да извърви целия път по внедряване на изискванията на Регламента и по този начин ще бъде в течение и в голяма степен запознат в детайли с функционирането на всички структури в компанията.

    Какво се случва на етапа на инвентаризация и анализ?
    Етапът на инвентаризация и анализ започва с провеждане на работни срещи с всички ключови дирекции в компанията, като най-общо се създава Data Mapping – карта, проследяваща жизнения цикъл на данните в самата фирма.

    Какво обхваща жизненият цикъл на данните?
    Жизненият цикъл най-общо съдържа следните елементи: събиране на информация, съхранение , използване, трансфер, актуализиране, периоди на задържане, т.е. колко дълго време имаме право да съхраняваме съответния тип данни; унищожаване, роля и отговорности и одит.

    Какво се случва на етапа на инвентаризация и анализ? Вижте какво сподели Георги Средков, управляващ съдружник в ICO Bulgaria

    А какво представлява самата карта?
    Data Mapping може да бъде извършен по различни начини. Най-общо съдържа съответствие между съответната част от жизнения цикъл и изискванията в конкретния член и алинея на Регламента. Например съгласно т.1, чл. 1 от GDPR какви типове данни се събират? Лични данни? Бизнес контакти? Финансови данни? Чувствителни данни? В този ред всяка точка от жизнения цикъл на съхранението, обработката и трансферирането на лични данни се съпоставя със съответните изисквания на Регламента. Това е най-подходящият вариант, в който може да се достигне до същността на процесите, извършвани в дадената компания. Класическото разбиране на лични данни е доста разширено според изискванията на Регламента и самите права и задължения са по-обхватни, отколкото досега съществуващите. Затова често самите служители дори на по-висши ръководни длъжности не оценяват аспектите като например възможностите за идентификация посредством IP адреси, други съвременни начини на трасиране, геолокация и т.н.

    За какво се използва?
    На база на получената информация се изготвя доклад за състоянието, придружен с препоръки за достигане на съответствие с изискванията на Регламента. На база на data mapping се съставя карта на разположението на личните данни, т.е. къде се съхраняват, къде се обработват всички параметри, които са заложени, като съответно се прави сечение между различните процеси.

    Какво представляват потоците на данни?
    Потоците на лични данни представляват начина, по който ние споделяме личните данни - когато са в статично състояние, когато се придвижват и когато са при крайния получател. Всяка една компания има много договори, които я поставят в ролята на съвместен администратор. Когато двама администратори на лични данни съвместно поставят правилата и условията за съхраняване, обработка и трансфер на лични данни, те са съвместни администратори. В повечето случаи има много подизпълнители, изнесени дейности и други договори, както и други организации, които подкрепят организацията, които влизат в ролята на администратори и обработващи. Тези отношения са изключително важни. В тази  част на Data Flow си личи какви данни и на какво основание, с какви договорни отношения се реализират, тъй като има изискване обработващият да извършва дейностите с лични данни под инструкцията, указанията и по правилата, заложени в договора от администратора на лични данни и под негов контрол. Затова самият Data Flow съдържа споделената информация с други отдели, споделената информация с трети страни.

    Бихте ли дали пример за предизвикателства, с които компаниите се сблъскват, когато тръгват да анализират потока на данни в съответната организация?
    В големите компании има много видове дейности, които в ежедневието не се отчитат като елемент на GDPR.  Такова е например отношението с куриерски фирми, които имат пълномощно клиентът да подпише пред тях договор и да върнат подписания договор. Тук имаме предоставяне на данни на обработващ, т.е. самият договор трябва да е добре описан.  Регламентът разглежда всеки един процес от край до край. Оценява го според изискванията на своите членове и на практика съответствието изисква цялостен оглед от всички гледни точки. Основно организационен, правен и най-вече информационен. Едно от изискванията, както знаете, е минимизиране на данните, т.е. минимално необходимият обем от данни, за да може да се изпълни или ангажимент по договор, или съответните нормативни изисквания.

    Как стои въпросът със споделянето на информация с трети страни?
    Регламентът обръща особено внимание в съответната секция към трансфера на данни към трети страни. Разбира се, много по-лесен е трансферът на лични данни в рамките на ЕС, тъй като Регламентът хармонизира изискванията и начина, по който това се прави в рамките на ЕС, но когато става дума за трансфер на лични данни към трети страни, нещата стоят по съвсем друг начин. Има няколко страни, изброени в Регламента, в които законодателството се счита, че е съобразено или близо до изискванията на регламента, т.е. счита се, че има голяма степен на съответствие. Такива например са Аржентина, остров Ман и някои други, но дори и там се изискват допълнителни мерки, които да се прилагат.  От схемата за Data Flow е видно във всеки един момент какви са потоците на данни към други страни. Тук се засяга и темата защо информацията се споделя, какво прави получателят на данните, какви политики, процедури и инструкции се прилагат. Един от добрите механизми за  трансграничен трансфер на лични  данни е консултация с Регулатора.

    Като че ли на един от етапите на жизнения цикъл на данните – унищожаване, се обръща по-малко внимание. За какво трябва да внимават компаниите?
    Изключително важен елемент е унищожаването на лични данни, тъй като има практика досега данните да стоят вечно. Удачно е да се знае за всеки тип данни какъв е периодът на живот на данните, след който трябва да бъдат унищожени. Добра практика е да се опише в протокол  или досие „записи от този до този са унищожени“, а не да се копират самите данни като доказателство, тъй като това само по себе си е тяхно разкриване.

    Какво се случва на етап „Разработка и внедряване“?
    Разработките и внедряването имат целта да отговорят на установеното в етап 2. След извършването на инвентаризацията и получаването на доклада, се прави оценка на риска върху всеки тип лични данни както и оценка на въздействието, ако компанията не е правила дотогава такава.

    Какви други конкретни дейности трябва да бъдат извършени на този етап?
    Интегриране на защитата на личните данни в оперативната дейност на компанията - без това не може. Второто нещо е създаване, актуализиране и поддържане на програма за получаване и повишаване на знанията. Изключителен е акцентът върху създаването на т.нар awareness или отговорно отношение към личните данни. Самата информация е навсякъде, във всички форми и независимо от това дали е в електронен вид, на хартия или споделена вербално – това е информация и тя също засяга Регламента.

    Какви ключови дейности трябва да предприемат компаниите? Вижте какво сподели Георги Средков, управляващ съдружник в ICO Bulgaria

    Има ли такъв тип дейности, които компаниите обикновено подценяват?
    В процеса на анализ обикновено проличава. Стандартното разбиране за лични данни е свързано с ЕГН, телефон, адрес или нещо, което пряко идентифицира субекта. Трудно е обаче да се изпълни ангажиментът за идентификация на субекта, когато титулярът по договора е едно лице, а ползвателят на услугата е съвсем друго. Ако трябва да влезем в детайли, самият регламент изисква идентификация на ползвателя на услугата, т.е. ако ти си абонат и имаш няколко телефонни номера, които се водят на твое име, но се ползват от членове на твоето семейство или някой друг, на практика личните данни са техни и това е един от деликатните моменти. Основното, което също така се подценява, това са отношенията с обработващите. Понякога за определени договорни отношения една фирма е администратор, а за други може да се яви като обработващ. Другото, което също е интересно е, че всъщност обработващ не е задължително да бъде фирма - може да бъде и частно лице, физическо лице. Следващата точка, която също е важна, е създаване, актуализиране и поддържане на програмите, политиките, правилата и процедурите, свързани с риска на информационната сигурност и риска от трети страни. Това е изключително важен момент.

    Регламентът предвижда задължение за компаниите в случай на изтичане на лични данни да уведомят КЗЛД в срок от 72 часа, а потърпевшите – без забавяне. Какви действия трябва да бъдат предприети, за да може да се осигури бърза реакция при инцидент?
    За всяка компания не е въпрос дали ще й се случи, а кога. Необходимо е създаване, актуализиране и поддържане на програма за управление на нарушенията, свързани с лични данни. В Регламента има ангажимент да бъдат уведомени потърпевшите при изтичане на данни без забавяне. За една голяма компания това може да бъде трудно, тъй като уведомлението трябва да съдържа ориентировъчния размер на нанесените щети; обхвата, т.е. кои точно субекти са засегнати; също така уверение какви мерки са предприети, доколкото е възможно. Когато има много подизпълнители по веригата или много участници, ако няма подходяща организация, е трудно да се оцени кои са засегнатите и какъв ущърб им е нанесен. Затова изключително важно и за самите системи е да бъдат подсигурени с логове. При това логовете да не бъдат само на база актуализация на данните, а да съдържат информация кой кога какво е достъпил и каква информация е разкрил, т.е. каква информация е била разкрита. Важно е за всяка една компания да има съответната програма за управление на нарушенията и другото, което е като задължителен елемент на тази програма е Incident response plan.

    Какво се случва на четвъртия етап?
    Това е моментът на оценка докъде сме стигнали със съответствието и вече след като го оценим,  можем да приложим корекции, за да се доближим до нашата цел. Ясно е, че никой не е 100% готов. Това не е възможно. Независимо от мерките, които се въвеждат. Но да си достатъчно подготвен е добре. Необходимо е непрекъснато наблюдение на организационните практики, идентифициране на нови процеси или съществени промени в съществуващите процеси и осигуряване на изпълнението на принципите Privacy by default и privacy by design. На практика внедряването на изискванията на Регламента е мащабна форма на управление на промяната. Практиката, която е добре да се прилага, е цикълът на Деминг – т.е. да планираме, изпълняваме, проверяваме и актуализираме. Този цикъл ни гарантира, че ние постоянно подобряваме дейностите.

    Какво представляват принципите Privacy by design и Privacy by default?
    Privacy by default означава, че по подразбиране не е събрано съгласието. Т.е. на всички места – дали е в съответния уебсайт, дали е на гише, дали е в хартиен документ няма предварително отбелязани съгласия и другото, което е изключително важно – съгласията се взимат целево. Т.е. самите съгласия не могат да бъдат дадени като досега – всичко е маркирано, подписваш се отдолу и си съглаен с всичко. Няма универсалност, за всяка цел се търси основание. Това е by default.  A by design - това е въвеждането на изискванията за криптиране на данните, за анонимизиране на данните, за псевдонимизиране на данните там, където е приложимо. Има различни методи - някои прилагат криптиране на идентификационната част, защото другите данни без декриптиращ механизъм не могат да бъдат асоциирани. Има различни подходи чисто технологично, но същността е в това – разделяне на идентифициращите данни от другите, описващи субекта данни.

    Какво бихте посъветвали компаниите, които тепърва ще въвеждат изискванията на Регламента?
    Всъщност до голяма степен въвеждането на изискванията на Регламента би могло да подобри бизнес процесите в една компания. Репутационният риск тепърва в Европа ще бъде използван като добро основание за правене на бизнес и защита на компанията. Смятам, че в много близко бъдеще изискванията за съответствие, оценката на съответствие с Регламента ще стане задължителен реквизит за всеки един контрагент, тъй като това поставя добро ниво на доверие между партньорите. Разбира се, за по-малките фирми е необходима по-малка по обем подготовка, но която препоръчваме да включва съобразен с мащабите на фирмите анализ на състоянието и последваща подготовка за съответствие с регламента. Трябва да се обърне сериозно внимание на два аспекта – GDPR и PIMS (бел.ред. Personal information Management system – система за управление на личните данни), като се създадат документи, описващи съответните политики, необходими процедури, работни инструкции по съответните теми, регистри и записи, които трябва да се водят. На нашия сайт може да се види какви са първите стъпки на администратора на лични данни.

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 2 часа
    ЕС и Япония подписаха споразумение за свободна търговия
    То ще премахне мита, възлизащи на 1 млрд. евро, заплащани всяка година от фирмите от ЕС, които изнасят за Япония
    преди 2 часа
    Ще можем да оставаме без виза до 30 дни на китайския остров Хайнан
    Островът е известен като китайските Хаваи
    преди 5 часа
    преди 7 часа
    Турските туристи в България са нараснали двойно за последните 5 години
    Турция е в топ 10 на пазарите за входящ туризъм за страната ни