3 важни насоки, за да се справите с предизвикателствата защита на личните данни и GDPR

1.  Определете риска.

Разбирането за риска и сложността да отговорите на изискванията на GDPR са от ключово значение за всяка организация. Преди да определите стратегията си, трябва да оцените текущата ситуация и да документирате отговорите на следните въпроси:

Колко сложна е структурата на организацията (отделни дъщерни компании, отдели, групи с различни роли по отношение на обработката на лични данни и т.н. )?

Колко като обем информация обработвате?

Каква е тази информация и за какво се използва?

Как се получава необходимото съгласие от всеки потребител – достъпна ли е вече тази информация?

Къде се съхраняват личните данни и защитени ли са адекватно?

Организацията обработва ли данни в специални категории (преди познати като критични данни)?

Колко партньори и служители обработват данни от името на вашата организация?

Информационните потоци трябва да се документират стриктно, за да може организацията да е наясно къде са данните и защо, кой ги достъпва, с какви права и колко дълго има достъп до тях.

Image-Blog-01-GDPR-600x300 Рискът от нарушение на сигурността на личните данни ще варира според типа и големината на дадената компания, в зависимост от това как и къде управляват и съхраняват данните.

Например, една компания може да съхранява данни в свой собствен дейта център, докато други може да са избрали облачна услуга. Някои може да са аутсорснали обработката на базите данни като дейност към други компании, и да работят с голям брой  трети страни и партньори. Независимо от това, къде се намират данните, отговорността при възникване на нарушение на сигурността на личните данни е ваша, ето защо е необходимо вземането на достатъчно мерки за управление на риска.

С оценката на текущото съхранение на личните данни и и споразуменията за обработка на данните, компаниите могат да опредлеят следващите стъпки, които са необходими, за да отговорят на изискванията на GDPR регламента.

2. Определете подхода си.

След като сте оценили влиянието на GDPR върху организацията ви, следващата стъпка е да планирате, как да посрещнете предизвикателствата, които той поставя.

Смятате ли, че нивото на риск е ниско и просто планирате да направите минималното и да се надявате на благоприятни обстоятелства или планирате да въведете цялостна стратегия, която ще гарантира съответствието по регламента преди да е настъпил Май 2018?

blogi-gdpr-osa-2-1-810x550За повечето компании, GDPR трябва да се превърне в ключов компонент от цялата стартегия за управление на информация. Новите политики и процедури за защита и обработване на данните  трябва да бъдат внедрени по начин, който съответства на GDPR, и всички включени в тези процеси служители трябва да са обучени за тези нови процедури и политики. Цялата информация отнасяща се за обработващите данни, които се явяват трета страна, както и съответните договори и одити, трябва да бъдат лесно дотъпни, в случай на проверка или при евентуално нарушение на сигурността.

От особена важност е факта, че при поява на нарушение на сигурността на личните данни, то трябва да се докладва в рамките на 72 часа, ето защо бързия достъп до информацията е критичен. В този случай, организацията ви трябва да издаде доклад за данните на засегнатия човек или компания, какъв е резултата от нарушението и какви стъпки са предприети, за да се гарантира сигурността на данните.

Обработващите бази данни разполагат дори с по-кратък срок, тъй като те ще трябва да осигурят тази информация към компанията, която е собственик на данните, достатъчно бързо, така че тя да успее да спази вече споменатия срок от 72 часа.

След първоначалния доклад за настъпилото нарушение на сигурността, трябва да подготвите още по-детайлен доклад, който показва процесите на контрол и одит пред компетентните органи, които трябва да определят степента на финансовата глоба. Колкото повече стъпки покаже организацията ви, че са предприети за идентифициране, минимизиране и доклад за риска, толкова по-малка ще е глобата.

3. Ангажирайте служителите и партньорите си.

GDPR превръща обработването на лични данни в силно регулирана бизнес дейност. Това означава не само процедури, политики и контрол – а по-важното – култура в самата организация, която е ориентирана към спазване на изискванията.

Различните по големина и тип компании очевидно ще бъдат засегнати в различна степен от GDPR. За някои, неудобствата са по-малки, но за други ще се наложи коренна промяна в организационната култура. Хората не обичат пормените, ето защо е важно компаниите да осигурят достатъчно информация и да обучат служителите си за особеностите на GDPR регламента и как той ще повлияе на тяхната дейност.

Един IT отдел може да внедри най-добрите възможни инструменти, но подкрепата от страна  на самия бизнес и служителите му ще бъдат най-важни. Топ мениджмънтът трябва да дефинира кои са политиките и процесите с най-голям приоритет и кои първо трябва да бъдат въведени. Трябва да се проведат оценки на риска, да бъдат документирани и да се реши как ще бъдат управлявани, което обикновено отнема доста време особено при организации, които боравят с много системи и партньори за обработката на данни. В този случай е важно да ангажирате не само служителите, но и партньорите си. Важно е да работите заедно с тези компании, за да прегледате договорите, да дефинирате политиките и процесите, което ще ви услесни и гарантира по-плавно и лесно следване на процедурите.

Спазвайки тези съвети по-горе, една оргaнизация ще разполага с много по-ясна картина как точно да се справи с предизвикателството GDPR и ще е сигурна, че разполага с достатъчно време, тъй като остават броени месеци до Май 2018.

По материали на Janne Järvenoja, M-Files

 

Още полезни статии за управлението на информация от блога:

– Най-често срещаните 10 трудности при управлението на информация, които лесно можете да избегнете

– Kак M-Files улеснява процеса на управление на договори в организацията?

– Защо да внедрим ECM система? Обясняваме с цифри и факти.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *