Най-често ръководителите на компании се успокояват с това, че има време или че разполагат с ИТ служител (в някои случаи цял ИТ отдел), който трябва да поеме функциите по въвеждане на GDPR.
Но не е съвсем така.
Привидното спокойствие намалява с приближаването на последния гратисен срок за прилагане на новите правила (25 май 2018 г.) и тогава се сещаме колко важно е да реагираме навреме. Съществува и масовата заблуда, че колкото по-малко персонал има една фирма, толкова по-лесно ще се осъществи съответствие с GDPR.
Но и това не е съвсем вярно.
Пример 1:
Да вземем компания със 100 души персонал. Това са предимно програмисти, работещи в специализирана среда, които създават софтуерни решения и най-често използват сървър за тестовете, който физически се намира на колокация в някой дейта център. Приемаме, че ръководният персонал има няколко компютъра, чрез които осъществяват кореспонденция с техните контрагенти. Да приемем, че такава компания има и интернет страница, с която се рекламира в глобалното пространство. В този случай рискът от несъответствие с регламента е сведен до анализ на няколко машини, които използват данни от кореспонденция. Най-често те не се считат за лични данни, а необходима информация за осъществяване на сделки.
При такъв казус консултиращата компания по GDPR изготвя доклад на база анализа на входираните данни. Предложеното решение често се свежда до минимална вътрешна реорганизация, купуване на криптиращ софтуер (ако няма наличен такъв) и подробно описание на процедурите и сроковете за съхранение на наличната на хартиен носител информация. Най-често този тип компании имат организиран архив, вече разполагат със сториджи и криптирани сървъри.
Пример 2:
Нека сега разгледаме например аптека с два компютъра на касите, които обслужват клиентите. В повечето случаи аптеките работят с НЗОК и се налага тези машини да имат достъп до специализирани бази данни. Те разполагат с много лична информация на своите клиенти (например дали даден потребител е хипертоник, диабетик, с временна или постоянна нетрудоспособност, частична парализа и т.н.). Отделно компютрите са свързани с касови апарати и счетоводен софтуер. Имат модули за складови наличности, информация относно доставчици и др.
Много е важно при такива ситуации консултантът да подбере правилен архив и криптатор, който да работи с всички използвани от клиента други софтуери. ИТ задача на консултанта е да предложи реорганизиране или дори подмяна на част от използваните елементи на мрежата, за да достигне желания резултат с възможно най малка инвестиция. При този пример също е налична интернет страница на аптеката. В повечето случаи е наличен и електронен магазин, който изисква контактна форма, съдържаща имена и адрес на получателя, телефон и др.
Всички тези електронни форми трябва да бъдат приведени в съответствие с регламента. Най-често такива обекти не разполагат с архивни носители, firewall и други защитни стени, бекъп компютри и др. Инсталирането на необходимите софтуери на такава машина би довело до невъзможност за обслужване на клиентите от страна на ресурса. За въпросната аптека това би означавало нужда от купуване на нови, по-мощни компютри и отделно на сървър, за да покрие всички критерии на разнообразието от софтуери в тях. Най-често в обектите има и видеонаблюдение, което също е обект на регулацията и трябва да бъде регламентирано и ясно за клиента. Тук идва парадоксът "клиентът е уведомен, че в обекта има 24 ч. видеонаблюдение, но не получава отговор кога ще се заличат записите от неговото заснемане, защото това касае сигурността на обекта и неговата защита".
Извод:
Броят на служителите и броят на компютърните станции не определят тежестта и сложността на процеса за преминаване в съответствие с GDPR.
Пример 3:
Да вземем за пример търговска фирма с персонал от 150 души. Тя включва търговски отдел, складов отдел, отдел за корпоративни клиенти, административен отдел, сервизен отдел, отдел, занимаващ се с доставчици, ИТ отдел, охрана, web администратори, счетоводен отдел и т.н.
Определянето и консултациите за преминаване в съответствие изисква голям обем от различни по вид организирани вътрешни структури. Във всеки от наличните отдели може да има специфични изисквания или разписани процедури, които налагат тяхното обследване. Същото важи и за съхранението на хартиени и други носители и достъпа до тях.
Необходимото време на консултанта за обследване е предписание на препоръки е значително. Прилагането на регламента е свързано в повечето случаи със сериозни реорганизации във вътрешния ред. Купуване на допълнително оборудване, работа и обучение на персонала от страна на ръководството и консултиращия партньор изисква допълнително време, което най-често е пренебрегвано. Често компанията е принудена от естеството на работата си да пренебрегне приравняването към общоевропейските нормативи. В такива случаи може да се вземе неправилното решение, че фирмата не може да си позволи да отдели толкова много време, а евентуалната проверка не би стигнала точно до този бизнес или институция. Регламентът е влязъл в сила още 2016 г., но много бизнеси едва сега се сещат, че гратисният период за въвеждането му е до 25 май 2018 г. За подобна компания пътеката по прилагане на GDPR свършва тук.
Пример 4:
Нека разгледаме същата фирма, но с персонал от 30-35 души. Налични са идентични или подобни отдели, но с по-малко персонал във всеки от тях. Консултиращата компания има същите ангажименти и необходимост от време за такъв клиент.
Извод:
Различните по размер корпорации не определят естеството на ангажимент, нито цената, оферирана от консултанта. При всички случаи тя е строго индивидуална.
Изводите за нуждите, породени от GDPR, са различни при всеки отделен случай, но задачата на консултиращата компания е клиентът да достигне до подходящия за него модел. Насоките към малки частни компании или към големи общински или държавни структури, разбира се, са различни. Много от ръководителите и собствениците на дружества обаче нямат време да се запознаят с изискванията на регламента и погрешно решават, че разполагат с достатъчно време. Нека разгледаме основните технически изисквания в GDPR, за да разберем дали това е така.
Технически изисквания
Важна част от новите правила е техническата обезпеченост на субекта, който управлява лични данни. Чл. 32 от GDPR изисква от всеки администратор на лични данни да въведе технически и организационни мерки, които са подходящи за нивото на риск при обработката и ползването на тези данни. Регулацията не изисква купуването на конкретни модели сървъри, компютри или софтуер. Трябва обаче да бъдат предприети мерки за ограничаване на риска от попадане на лична информация в неподходящи ръце.
В IT сигурността има един основен принцип: Даден служител трябва да има достъп до минимално количество информация, за да върши своята работа.
Същото правило се прилага и при GDPR. Данните, които фирмата събира, трябва да бъдат обработвани от минималния нужен брой служители. И минимален брой служители трябва да имат достъп до тях. Дали информацията ще бъде на локален сървър или в облака, дали данните ще бъдат криптирани (а е желателно да са), или защитени по друг начин, администраторът трябва да е приложил възможно най-висока степен на защита, за да не може данните да попаднат в ръцете на лица, които не са оторизирани да ги ползват.
Ако фирмата е малка, например само от един човек, подобна информация може да се съхранява дори и на преносим компютър. Тогава администраторът трябва да приложи максимална степен на защита на този лаптоп. Минимумът включва криптираща програма на диска и антивирусен софтуер. Особено важна е и културата на използване на лаптопа. Не е допустимо например да се посещават уебсайтове или да се инсталират програми, които може да са свързани със зловреден софтуер и така да се случи пробив в личните данни.
При по-големи фирми са в сила други правила и политики за IT сигурност, които могат да гарантират минимален риск (сървъри, нива на достъп, управление на пароли и т.н.) В тези случаи културата на използване на компютър също е много важна, но при правилна политика по IT сигурността достъпът до опасни сайтове може да бъде ограничен.
Много клиенти питат колко би струвала реорганизацията на процесите на работа в дадена фирма за постигане на съответствие с GDPR. Отговорът е, че всичко е относително. Възможно е дори да се стигне до парадокса малка фирма да похарчи много повече пари, за да изпълни изискванията, особено ако тепърва трябва да купува и внедрява нов хардуер и софтуер. В една банка например се изисква изпълнението на редица мерки и стандарти по сигурността на информацията. В някои случаи там новите процеси могат да се внедрят по-лесно и безболезнено поради естеството от внедрената сигурност. Според досега действащото българско законодателство Комисията за защита на личните данни води регистър на администраторите на лични данни и поддържаните от тях регистри.
Извод:
Отговорността за личните данни е на всички администратори на лични данни. Размерът на фирмата е без значение.
Ще бъде ли вашият бизнес засегнат от GDPR
Новият регламент се прилага за всяка организация, която държи или обработва личната информация на европейски гражданин независимо къде се намира самата организация или къде се извършва обработката на данни. Това включва например бизнеса в САЩ или Великобритания (независимо от Brexit). Общият регламент изисква фирмите да защитават тази информация - независимо от това къде се изпраща, обработва или съхранява - и да има доказателства за защитата на данните, които могат да бъдат проверени.
"Лични данни" е широк термин, който включва: име, снимка, имейл адрес, банкови данни, публикации в социални мрежи, медицинска информация, дори и компютърен IP адрес.
Прилагането на GDPR ще бъде както предизвикателство, така и възможност за бизнеса. Много предприятия ще изискват от контрагентите и партньорите си да спазват изцяло регулация като условие за бизнес отношения. С правилен подход и навременно планиране организациите могат да превърнат спазването на GDPR за конкурентно предимство и за откриване на нови бизнес възможност. Несъответствието с GDPR може да доведе до значителна загуба за бизнеса спрямо по-подготвените конкуренти.
Извод:
Преминаването в съответствие с GDPR може да се превърне в бизнес предимство и е важно за елиминиране на евентуални бъдещи лоши последствия.