В тази статия ще се опитам да разгледаме какво изисква GDPR и как най лесно можем да доведем своята компания до момент, в който отговаря на тези изисквания. Целта на статията е да разбере читателя каква е същността и какво в крайна сметка трябва да направи един ръководител за да доведе своята компания в съответствие с изискванията на този регламент. За това ще се опитам с примери да насоча читателите да разберат как е най удачно да преминат в съответствие с ЗЗЛД (GDPR).
Грешната представа
Най често ръководителите си казват има време, аз имам ИТ ( в някои случаи ИТ Отдел),
това е тяхна работа, но не е съвсем така.
Това привидно спокойствие ескалира към последния гратисен срок (25 Май 2018 г.) и тогава се сещаме, колко важно е да реагираме на време.
Съществува масовата заблуда, че колкото по малко персонал толкова по лесно ще се осъществи съответствие с GDPR, но и това не е така.
Пример 1:
Да вземем компания с 100 човека персонал. Програмисти работещи в специализирана среда, които създават софтуерни решения и най-често използват сървър за тестовете, който физически се намира на ко-локация в някой дата център. Приемаме, че ръководния персонал има няколко машини чрез, които осъществяват кореспонденция с техните контрагенти. Да приемем, че такава компания има и интернет страница с която се рекламира в глобалното пространство. В този случай риска от несъответствие с регламента е сведен до анализ на няколко машини, които използват данни от кореспонденция, която най често не се считат за лични данни, а необходима информация за осъществяване на сделки.
При такива входни данни консултиращата компания изготвя доклад на база анализа на входираните данни. Често се свежда до минимална вътрешна ре организация, закупуване на криптиращ софтуер (ако няма наличен такъв) и подробно описание на процедурите по съхранение на информация налична на хартиен носител и за какъв период от време.
Най често този тип компании имат организиран архив, разполагат със сториджи и криптирани сървъри.
Пример 2:
Нека сега разгледаме например аптека с 2 машини на касите обслужващи клиентите.
В повечето случаи аптеките работят с НЗОК и се налага тези машини да имат достъп до специализирани бази данни и разполагат с много лична информация на своите клиенти (например хипертоник, диабетик, временна или постоянна не трудоспособност, частична парализа и т.н.). Отделно машините са свързани с касови апарати и счетоводен софтуер. Има разбира се модули за складови наличности и информация относно доставчици и др. Много е важно при такива ситуации консултанта да подбере правилен архив и криптатор сработващ с всички използвани от клиента други софтуери. ИТ задача на консултанта е да предложи реорганизиране или дори подмяна на част от използваните елементи на мрежата за да достигне желания резултат с възможно най малка инвестиция. При този пример също е налична интернет страница на аптеката. В повечето случаи е наличен и електронен магазин, който изисква контактна форма съдържаща имена и адрес на получателя, телефон и др.
Много важно е тези електронни форми да се приведат в съответствие с регламента.
Най-често в такива обекти не разполагат с архивни носители, файърлоли и други защитни стени, бекъп машини и др. Инсталирането на необходимите софтуери на такава машина би довело до невъзможност да обслужва клиентите от страна на ресурса. Тоест закупуване на нови по мощни и отделно на сървър за да покрие всички критерии на разнообразието от софтуери в тях. Най-често в обектите има и видеонаблюдение, което само по себе си трябва да бъде регламентирано и ясно за клиента. Тук идва парадокса: „клиента е уведомен, че в обекта има 24 ч. видеонаблюдение, но не получава отговор, кога ще се заличат записите от неговото заснемане, защото това касае сигурността на обекта и неговата защита.“
Извод:
Броя на служителите и броя на компютърните станции не определят тежестта и сложността на процеса за преминаване в съответствие с GDPR.
Пример 3:
Търговска фирма с персонал от 150 човека. Имат съответно търговски отдел, складов отдел, отдел за корпоративни клиенти, административен отдел, сервизен отдел и др. , отдел с занимаващ се с доставчици, ИТ отдел, охрана, web администратори, счетоводен отдел и т.н.
Определянето и консултациите за преминаване в съответствие изисква голям обем от различни по вид организирани вътрешни структури. Във всеки от наличните отдели може да има специфични изисквания или разписани процедури, които налагат тяхното обследване.
Съответно важи и за съхранението на хартиени и други носители и достъпа до тях.
Необходимо време на консултанта за обследване е предписание на препоръки е значително и свързано в повечето случаи с сериозни реорганизации във вътрешния ред. Закупуване на допълнително оборудване, работа и обучение на персонала от страна на ръководството и консултиращия партньор, изисква допълнително време, което най често е пренебрегвано и компанията е принудена от естеството си на работа да пренебрегне тези задължителни нормативи приравняващи ги към общоевропейските нормативи. Тогава се взима неправилното решение, а бе на мен ли ще направят проверка. Сега не мога да си позволя да отделя толкова много време за себе си и персонала. Все пак той трябва да работи за да си изкара парите. И с това приключва. Регламента е влязъл в сила още 2016 г., но едва сега се сещаме, че гратисния период е до 25 Май 2018 г.
Пример 4:
Нека разгледаме същата такава търговска фирма само, че с персонал от 30-35 човека. Налични са идентични или подобни отдели, но с по-малко персонал във всеки един от тях. Консултиращата компания има същите ангажименти и необходимост от време за такъв клиент.
Извод:
Различните по размер корпорации, не определят естеството на ангажимент нито цената оферирана от консултанта. При всички случаи тя е строго индивидуална.
По своето естество примерите и изводите са различни при всеки отделен случай, но нашата задача тук е клиента да достигне до модела, който би бил подходящ за неговата компания. Разбира се различни са насоките при малки частни компании и големи общински или държавни и т.н. По своето естество всички те трябва да влязат в съответствие с нормативите.
Болшинството от ръководителите и собствениците на дружества нямат време да се запознаят с изискванията на регламента и си казват има още време. Нека разгледаме малко техническите изисквания в GDPR
Технически изисквания за GDPR
Важна и неразделна част от целия регламент е техническата обезпеченост на субекта, който управлява личните данни. Чл. 32 от регламента изисква от всеки един администратор на лични данни да въведе технически и организационни мерки, които са подходящи за нивото на риск при обработката и ползването на тези данни.
Регламентът не изисква конкретни модели сървъри или софтуер да бъде закупен казано на по-прост език. Регламентът изисква да бъдат предприети такива организационни и технически мерки, които да минимизират изтичането или попадането на лична информация в неподходящи ръце. Има един основен принцип в IT сигурността:
- Един служител трябва да има достъп до минимално количество информация, за да върши своята работа.
Данните, които фирмата събира трябва да бъдат обработвани от минимален брой служители. И минимален брой служители трябва да имат достъп до тях. Дали ще бъдат на сървър на място или в облака, дали ще бъдат криптирани (а е желателно да са) или защитени по друг начин, то админстраторът на лични трябва да е приложил възможно най-висока степен на защита, за да не може тези данни да попаднат в ръцете на лица, които не са оторизирани да ги ползват. Ако фирмата е малка, например от 1 човек, тези данни могат да бъдат и на преносим компютър даже. Тогава админстраторът трябва да ползва максимална степен на защита на този лаптоп. Криптираща програма на диска и антивирусна са минимума, който трябва да прави. Също така културата на ползване на лаптопа е много важна. Не може да се посещават сайтове или свалят програми, от които може да се качи зловреден софтуер и така да се случи пробив в личните данните.
При по-големи фирми в сила са други правила и политики за IT сигурност, които могат да гарантират минимален риск. Сървъри, нива на достъп, политики по сигурност, управление на пароли и т.н. Там културата на ползване на компютъра също е много важна, но при една правилна политика по IT сигурността, то достъпа до различни опасни сайтове може да му бъде отрязан от IT администраторите чрез различни мерки.
Много клиенти питат колко би струвал процеса по реорганизиране на процедурите на работа в дадена фирма в съответствие на регламента. Всичко е относително. Даже може да се стигне до парадокса „малка като размер фирма да похарчи много повече пари, за да изпълни тези изисквания, особено ако трябва да купува и внедрява тепърва нов хардуер и софтуер.“
В една банка, например, по принцип се изискват да се изпълняват редица мерки и стандарти по сигурноста на ползването на информацията. И в някои случаи там този процес може да се внедри по-лесно и безболезнено поради естеството от внедрената сигурност.
Според българското законодателство и Комисията за защита на личните данни (КЗЛД) се води Регистър на администраторите на лични данни и на водените от тях регистри на лични данни. Администратор на лични данни (АЛД), е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
В случай че видът на обработваните лични данни, целите и средствата за обработване са определени със закон, администраторът или специфичните критерии за неговото определяне са нормативно уредени. Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
Администраторът на лични данни или негов представител е длъжен да подаде заявление за регистрация и документи по образец, утвърден от комисията, преди започване обработването на лични данни. Повече информация може да се намери навсякъде в интернет пространството.
Извод:
Отговорността за личните данни е на всички админстратори на лични данни. Размерът на фирмата е без значение.
Според правилата на GDPR компаниите трябва да уведомят обществеността в рамките на 72 часа, след като открият нарушение или ще бъдат наказани до 10 милиона евро (или до 2% от приходите от предходната година), което от двете е по-голямо. На организациите може да бъде наложена глоба до 4% от годишните глобални приходи или до 20 милиона евро (приблизително 22,3 милиона USD) за нарушаване на GDPR, което е по-голямо. Повече за приложението на двата вида санкции можете да намерите в редица статии в глобалното пространство и за това няма да се спираме на тях.
Ще бъде ли вашият бизнес засегнат от GDPR?
Всяка организация със седалище в ЕС или която обработва, държи или притежава личните данни на европейските граждани трябва да се придържа към GDPR или ще бъде подложена на тежки наказания . Новият регламент се прилага за всяка организация, която държи или обработва личната информация на всеки европейски гражданин, независимо от това къде се намира самата организация или където се извършва обработката на данни. Всички компании, които обработват, притежават или притежават европейски данни, трябва да спазват разпоредбите на закона и това включва бизнеса в САЩ и Великобритания (независимо от Brexit).
Създаден от Европейския парламент, Общият регламент за защита на данните изисква всички дружества, които обработват и съхраняват личните данни на европейските граждани, да защитават тази информация – независимо от това къде се изпраща, обработват или съхраняват – и доказателството за защита трябва да бъде проверено.
„Лични данни“ могат да бъдат всичко: от име, снимка, имейл адрес, банкови данни, публикации в социални мрежи, медицинска информация, дори и компютърен IP адрес.
Тук искам да направя уточнение, че същите тези данни могат да се считат и като минимално необходими за осъществяване на Вашия бизнес. Когато необходимостта от съхранение на такива данни е належаща и защитена (на криптиран носител) и не е налично изричното несъгласие на Вашите партньори то всичко се свежда до правилното организиране и съхранение. (Пример 2)
Съгласуването на GDPR ще бъде както предизвикателство, така и възможност за Вашия бизнес. Много предприятия ще изискват от продавачите си да спазват изцяло GDPR като условие за правене на бизнес с тях. С правилния подход и ранното планиране организациите могат да превърнат необходимостта от спазване на Общия регламент за защита на данните в възможност сега да се разграничат и да се открият нови бизнес възможности за техните фирми. Освен това, много предприятия ще изискват от продавачите си да спазват изцяло GDPR, като условие за правене на бизнес с тях. Тези изисквания обикновено са част от процеса на изготвяне на рамково решение и / или от одита на неприкосновеността на личния живот и сигурността. Несъответствието може да доведе до значителна загуба на бизнеса за конкурентите, които са в състояние да докажат своята съгласуваност по GDPR. Започнете, като се свържете с www.gdpr-now.bg днес, за да видите как можем да помогнем на вашата организация да осигури „подходяща сигурност за риска“.
Извод:
Направете в своя полза, досадното и отегчително преминаване в съответствие с GDPR в свое предимство. Да сте спокойни, с предимство пред конкурентите Ви. Елиминирайте евентуалните бъдещи лоши последствия за Вашия бизнес.
Защита с отворен код и GDPR
Общите изисквания на Общия регламент за защита на данните се отнасят до понятията за предотвратяване, оценка и мониторинг, включително анализ на пропуски, разглеждащ настоящите процеси на сигурност, за да се определи какво може да се наложи да се промени, за да се отговори на новите изисквания. Трябва да се отбележи член 32 от регламента: от организациите ще се изисква да „осигурят подходяща степен на сигурност за риска“, включително да установят процеси за редовно оценяване и тестване на практиките за сигурност.
Ако организацията ви трябва да спазва Общия регламент за защита на данните, ще трябва да разгледате софтуерната екосистема, която използвате, и да включите идентифицирането и управлението с отворен код в програмата си за защита на GDPR. Освен че проверявате персонализирания изходен код за уязвимости, уверете се, че отвореният източник, който използвате вие или вашите доставчици, не въвежда скрити уязвимости в сигурността. Казано с други думи: Обърнете внимание на всички звена и структури във Вашата мрежа и сигурност. Не подценявайте дори съхранението на лична кореспонденция на работната машина във Вашия офис. Сведете достъпа на информация само до персонала, който използва същата в своето естество на работа. Използвайте шредер за унищожаване на информация от хартиен носител. Съхранявайте документацията в помещения с контролиран достъп. Поставете отметки в електронните магазини и интернет страници от сорта „да приемам …..“ , както и „Вашите лични данни ще се използват за ….. в срок от….“ И т.н.
За повече информация и консултации можете да посетите нашия електронен адрес:
https://gdpr-now.bg или да се свържете с нас по телефона.
Изготвил Любомир Цоков
Всички права запазени!