GDPR: 5 практически съвета за съвместимост

Последен ъпдейт на 28 юни 2018 в 13:09 ч.

Съвместимостта с GDPR може да ви се струва като мисия, близка до невъзможното. Е, не е. Или поне не е чак толкова невъзможна, стига да спазвате следващите практически съвети, с които да спестите време и усилия в този контекст. Разбира се, тези 5 съвета са само едно добро начало – но следете freedomonline.bg за още такива съвети.

1. Поставете ясни цели, мисия и визия

Ако все още нямате програма за опазване на личните данни, сега е времето да навиете ръкави и да се захванете за работа. Първата ви важна цел е да изградите ясна мисия, визия и цели, които да представите пред всички заинтересовани страни в организацията си. Бъдете кратки, точни, ясни и обосновани в изложението си – за да постигнете единодушие в стремежа за постигане на съвместимост.

2. Дефинирайте мащаба на програмата си

Щом сте наясно с мисията и визията си е нужно да изясните и това какво точно обхваща програмата? Само съвместимост с GDPR ли целта ви? Или нещо поевче? Ако се фокусирате само върху този регламент, то прегледайте внимателно всички  99 члена, от които се състои. Важно е да определите дали сте администратор (инстанцията, която определя как и защо се обработват лични данни) на лични данни, обработващ (инстанцията, която само извършва обработката) или и двете.

3. Дефинирайте задачи и отговорности

Започнете с чл. 37-39 от GDPR, за да определите дали имате нужда от DPO (Data Protection Officer или служител по защита на данните). Неговата или нейна отговорност е да приведе организацията в съвместимост с изискванията на регламента – и да направи така, че бизнесът ви да работи според тези изисквания. Ако стигнете до заключение, че не ви е нужен DPO, то все пак е добре да имате отговорник за опазването на данните, който да има нужните средства и подкрепа, за да осъществи мисията и визията ви.

Отговорността, свързана с обработката на лични данни не е само за назначения DPO или човекът, който ще изпълнява функцията на отговорник за защита на данните. Всеки отдел, който има досег с тези данни, също подлежи на контрол. Най-добрият начин да визуализирате кой и доколко носи отговорност за данните в организацията ви е да направите детайлна схема на потока от информация с помощта на ключови участници в процеса на обработката ѝ (човешки ресурси, технически отдели, т.н.).

4. Начертайте карта за програмата си

С други думи – поставете рамката, върху която ще надграждате практиките на организацията. Такава рамка ще минимализира риска, а и показва съвместимост с установените най-добри практики. Някои рамки, които можете да използвате като пример са Privacy by DesignFair Information Practice Principles (FIPPs), както и  практиките за защита на данните от ISO 29100 Privacy Data Protection Standards.

Нужно е да покажете на всички заинтересовани страни от техническа страна, че продуктите или услугите ви трябва да са сигурни поначало, а не да бъдат променяни при нужда (промяна на закони – GDPR). За целта можете да ги запознаете детайлно с чл. 25 и 32, които регламентират, че организацията трябва да въведе мерки за сигурност, адекватни за риска, който обработката на данни носи.

Ключова точка на картата ви трябва да е изпълнението на Privacy Impact Assessment (PIA) и Data Protection Impact Assessment (DPIA) – оценки на риска за съхраняваните данни и мерките за сигурност, които имате. Тези процеси са задължителни, в случай, че източването на данните, които притежавате, може да доведе до каквато и да е физическа, материална или нематериална щета за потребителите.

5. Установете процеси за измерване и контрол

Ако сте стигнали до тук, то вероятно вече имате основата на една добра програма за сигурност на данните. Това, което ѝ липсва, обаче, е начин да измерите колко добре (и дали) работи. Идентифицирайте и установете адекватните метрики, както и процес за управлението им. Сега е и адекватният момент, в който да въведете процедури за случаи, в които програмата ви не сработва – пробиви в сигурността, изтичане на данни, поисквания за изтриване.

След полагането на всички основни елементи е време за разбор на занятието. Няма нищо лошо в това сами да измерите и проверите резултатите от програмата си, но наемането на външно лице ще ви спечели допълнително доверие от клиентите ви.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Exit mobile version