Експерти: Много компании оставиха GDPR в 2018 г. и това ги излага на риск от несъответствие
Какдауправляватерискаспомощтанавъншниексперти? Решение ли е аутсорсингът?Какваеролятанависшиямениджмънтзаспазванетонарегламента?
ОтговорнатезиидругивъпросидаватлицатанаАсоциациязазащитаналичнитеданни (https://mydata.bg/) Юлия Пригонча – DPO исертифициранот IAPP мениджърповъвежданенапрограмизазащитаналичнитеданни, и
адв . Деница Люнчева – дългогодишенправенекспертповъпроси, свързанисъсзащитатаналичнитеданни, в това число и ГлавенюрисконсулткъмМинистъранавътрешнитеработи (https://mydata.bg/upravlenie/).
КАКВО съдебна експертиза СЛУЧВА ПОВЕЧЕ ОТ ГОДИНА СЛЕД ВЛИЗАНЕТО В ДЕЙСТВИЕ НА GDPR?
Ако би трябвало да обобщим обстановката, по-често се следи настройка в фирмите да съблюдават регулацията, само че към момента би трябвало да се поставят старания откъм експертизата на чиновниците и разбирането на проблематиката от страна на висшия мениджмънт.
Широко публикувано е схващането, че постигането на сходство с регламента е еднократен акт - основават се едни политики и процедури, които се прибират в една директория и с това компанията счита, че е изпълнила условията на закона. В реалност това е непрестанен развой, който би трябвало да се интегрира в активността й. И да, ще коства старания и запас, само че те ще се отплатят. Компаниите, които нямат това схващане, а работят ad hoc, случай по случай, постоянно позволяват неточности и се излагат на опасности.
В цяла Европа, включително и в България, към този момент има известни проблеми, някои от които с рекордни санкции по GDPR, достигащи десетки милиони. Според нас обаче санкциите са единствено един от рисковете и никога най-големият. Потенциалната загуба на доверие, която фирмите могат да претърпят, е нещо надалеч по-страшно. Всеки , който ръководи бизнес , знае каква е цената на това да успееш да станеш желан от хората избор .
За наслада, все по-често в практиката си виждаме компании, които желаят да вършат нещата отговорно и вярно. Това роди и концепцията ни за основаването на корпоративна общественост от такива компании (https://mydata.bg/korporativna-obshtnost/).
КАКВА Е РОЛЯТА НА ВИСШИЯ МЕНИДЖМЪНТ В ТОЗИ ПРОЦЕС ?
Там, където разбирането на висшето управление за значимостта на въпроса е ниско, рискът GDPR да не бъде прибавен вярно от компанията и да остане неразбираем от чиновниците е висок.
Ние спомагаме както на частния, по този начин и на обществения бранш, и там, където шефът, шефът, кметът, т.е. висшият началник на дадена конструкция, е задал пътя вярно, регулации като GDPR могат да бъдат и доста потребни. Те могат да станат основата за усъвършенстване на съществуващите процеси, както и за обзор и възстановяване на връзките с доставчиците на употребяваните външни услуги.
Факт е, че всеобхватни регулации като GDPR стават в допълнение задължение за бизнеса, тъй като той не всеки път разполага с вътрешни, готови специалисти. Затова тактиката на мениджмънта към решаването на този въпрос в доста огромна степен предопределя и триумфа.
В нашата процедура срещаме компании, които имат вътрешен екип, само че, без значение от това, по значими въпроси търсят второ мнение от наш специалист. Има и такива, които избират вътрешните чиновници да бъдат минимално ангажирани с GDPR и напълно са аутсорснали тази активност към нас. Тоест всяка компания избира кое е най-подходящото решение за нея и това решение е на висшия мениджмънт.
Наскоро медиите отразиха проблем в системата за кандидатстване в учебните заведения на територията на една община в България. Както постоянно става в сходни случаи - виновността се търсеше някъде другаде. Макар да разполагаме единствено с обществено известните елементи по случая, считаме за неприемливо да се излагат на риск данни на деца, а управлението да не си дава сметка, че точно то има основна роля и обвързване по закон да опази данните , без значение от това , че употребява непозната система .
С други думи, към момента има празнини в разбирането на смисъла и философията на регламента от виновните лица.
ПОЯВИ съдебна експертиза И ЦЯЛА Народоосвободителна въстаническа армия ПРОФЕСИЯ - " ДЛЪЖНОСТНО ЛИЦЕ Пожарна охрана ЗАЩИТА НА ДАННИТЕ " . КАКВИ ТОЧНО СА ТЕЗИ ЕКСПЕРТИ ?
Тази служба остава към момента незадоволително разбрана. Част от фирмите разпореждат функционалността на ДЛЗД на юриста, счетоводителя, експерта по човешки запаси и така нататък, едвам покажат, че такова лице е назначено. Без действително да му спомагат и да подкрепят определения чиновник да бъде квалифициран да извършва отговорностите си.
Отговорността още веднъж е на висшия мениджмънт и в случай че той е избрал погрешен специалист или не го развива, от това ще загуби компанията. Ако пък се реши, че това е бюджетно голословно, по-добре да се аутсорсне длъжността към готови специалисти в региона, отколко да се предприеме проформа назначение. Недостатъчно добре квалифицираният чиновник може да коства скъпо .
КАКВО ОЗНАЧАВА ДА СИ ВЪНШЕН DPO ( ДЛЗД ) ЗА ЕДНА КОМПАНИЯ ?
Външният DPO (Data protection officer) би трябвало да има дълбоки експертни знания по характерната материя, както и да схваща спецификите на дадената компания, за която ще работи. Да може да предлага изобретателни решения и да ги комуникира добре. Това постоянно изисква самообладание в огромни дози и качества да се водят договаряния.
Много от въпросите, по които работим, се вземат решение вследствие на задълбочени изследвания на екип от специалисти. Така стигаме до най-правилното решение за съответната обстановка. Един добър DPO не би трябвало да е блокиращ за бизнес процесите, а да оказва помощ те да са в сходство с регламента. Най-лесно е да се каже на компанията: " Това не може, тъй като не дава отговор на GDPR. " А в действителност задачата е ги посъветваш по какъв начин да трансформират процеса, тъй че всичко да е по разпоредбите, и самото събиране на данни да носи изгода на организацията.
Друг комплициран миг на този стадий е уреждането на взаимоотношенията с третите лица, най-често с обработващите персонални данни. Едните не желаят да поемат никакви отговорности , другите назад – желаят да трансферират всичко в отговорност на другия .
В практиката си срещаме жестоки условия, които някои от по-големите компании постановат на подизпълнителите си. В някои от случаите това води до напълно ненужни разноски за дребния бизнес, още повече, че не дава отговор на смисъла и философията на GDPR.
Тук е точно ролята на едно положително DPO – да познава добре законодателството, да умее да прави разбори и обосновано, при отчитане на риска, да поучава компанията да вземе едно или друго решение. Точно тази аргументираност на решенията ще има основна роля при доказване на спазването на условията на GDPR при положение на нужда.
ЗАЩО ОТ АСОЦИАЦИЯТА РЕШИХТЕ ДА ПРЕДОСТАВЯТЕ АУТСОРС УСЛУГИ ?
Целта на Асоциацията е освен да бъдат по - добре предпазени физическите лица и техните данни , само че и да бъдем потребни на бизнеса с опита и знанията , които имаме .
С нашата работа съумяваме да обединим разнообразни специалисти. Към Асоциацията се причислиха експерти, които имат опит както в частния, по този начин и в обществения бранш, като по този начин експертизата ни към този момент се простира оттатък профилираната " GDPR-ска " подготовка.
Работата ни, в това число посредством партньорството ни с БТПП, през последните две години дава доста положителни резултати. Разпознаваеми сме като експертна организация, в това число от страна на основни институции. Чрез нашата активност подкрепяме и сме дейни участници в лекции, семинари, конгреси, в законодателния развой.
В този интервал от ден на ден компании започнаха да се обръщат към нас за подпомагане, а аутсорсването разрешава разнообразни, гъвкави форми на взаимоотношение. Могат да бъдат аутсорснати единствено инспекциите или образованията, или единствено оценките, и това е доста сполучлив вид за някои компании.
Всичко изброено докара до разумната стъпка - започнахме да предлагаме решения за бизнеса под формата на аутсорсване на действия в региона на отбраната на персоналните данни (https://mydata.bg/konsultatsii-i-dpo-autsors/)
КАКВА Е РОЛЯТА НА ДРУГИТЕ СЛУЖИТЕЛИ, СЛЕД АУТСОРСВАНЕТО НА ДЕЙНОСТТА ?
Служителите са и си остават най - уязвимото място на компанията . Редица интернационалните проучвания сочат, че огромна част от пробивите в сигурността или нарушаванията на законодателството се дължат на неведение или нехайство от страна на чиновниците.
Като резултат от взаимната ни работа с дадена компания, с изключение на спокойствието на висшия мениджмънт, ние постоянно търсим и повишение равнището на информираност на самите чиновници. Опитваме се да го вършим по елементарен, неангажиращ за тях метод. Само когато чиновниците стартират да имат нужната сензитивност по тези въпроси сме сигурни , че сме свършили добре работата .
ОтговорнатезиидругивъпросидаватлицатанаАсоциациязазащитаналичнитеданни (https://mydata.bg/) Юлия Пригонча – DPO исертифициранот IAPP мениджърповъвежданенапрограмизазащитаналичнитеданни, и
адв . Деница Люнчева – дългогодишенправенекспертповъпроси, свързанисъсзащитатаналичнитеданни, в това число и ГлавенюрисконсулткъмМинистъранавътрешнитеработи (https://mydata.bg/upravlenie/).
КАКВО съдебна експертиза СЛУЧВА ПОВЕЧЕ ОТ ГОДИНА СЛЕД ВЛИЗАНЕТО В ДЕЙСТВИЕ НА GDPR?
Ако би трябвало да обобщим обстановката, по-често се следи настройка в фирмите да съблюдават регулацията, само че към момента би трябвало да се поставят старания откъм експертизата на чиновниците и разбирането на проблематиката от страна на висшия мениджмънт.
Широко публикувано е схващането, че постигането на сходство с регламента е еднократен акт - основават се едни политики и процедури, които се прибират в една директория и с това компанията счита, че е изпълнила условията на закона. В реалност това е непрестанен развой, който би трябвало да се интегрира в активността й. И да, ще коства старания и запас, само че те ще се отплатят. Компаниите, които нямат това схващане, а работят ad hoc, случай по случай, постоянно позволяват неточности и се излагат на опасности.
В цяла Европа, включително и в България, към този момент има известни проблеми, някои от които с рекордни санкции по GDPR, достигащи десетки милиони. Според нас обаче санкциите са единствено един от рисковете и никога най-големият. Потенциалната загуба на доверие, която фирмите могат да претърпят, е нещо надалеч по-страшно. Всеки , който ръководи бизнес , знае каква е цената на това да успееш да станеш желан от хората избор .
За наслада, все по-често в практиката си виждаме компании, които желаят да вършат нещата отговорно и вярно. Това роди и концепцията ни за основаването на корпоративна общественост от такива компании (https://mydata.bg/korporativna-obshtnost/).
КАКВА Е РОЛЯТА НА ВИСШИЯ МЕНИДЖМЪНТ В ТОЗИ ПРОЦЕС ?
Там, където разбирането на висшето управление за значимостта на въпроса е ниско, рискът GDPR да не бъде прибавен вярно от компанията и да остане неразбираем от чиновниците е висок.
Ние спомагаме както на частния, по този начин и на обществения бранш, и там, където шефът, шефът, кметът, т.е. висшият началник на дадена конструкция, е задал пътя вярно, регулации като GDPR могат да бъдат и доста потребни. Те могат да станат основата за усъвършенстване на съществуващите процеси, както и за обзор и възстановяване на връзките с доставчиците на употребяваните външни услуги.
Факт е, че всеобхватни регулации като GDPR стават в допълнение задължение за бизнеса, тъй като той не всеки път разполага с вътрешни, готови специалисти. Затова тактиката на мениджмънта към решаването на този въпрос в доста огромна степен предопределя и триумфа.
В нашата процедура срещаме компании, които имат вътрешен екип, само че, без значение от това, по значими въпроси търсят второ мнение от наш специалист. Има и такива, които избират вътрешните чиновници да бъдат минимално ангажирани с GDPR и напълно са аутсорснали тази активност към нас. Тоест всяка компания избира кое е най-подходящото решение за нея и това решение е на висшия мениджмънт.
Наскоро медиите отразиха проблем в системата за кандидатстване в учебните заведения на територията на една община в България. Както постоянно става в сходни случаи - виновността се търсеше някъде другаде. Макар да разполагаме единствено с обществено известните елементи по случая, считаме за неприемливо да се излагат на риск данни на деца, а управлението да не си дава сметка, че точно то има основна роля и обвързване по закон да опази данните , без значение от това , че употребява непозната система .
С други думи, към момента има празнини в разбирането на смисъла и философията на регламента от виновните лица.
ПОЯВИ съдебна експертиза И ЦЯЛА Народоосвободителна въстаническа армия ПРОФЕСИЯ - " ДЛЪЖНОСТНО ЛИЦЕ Пожарна охрана ЗАЩИТА НА ДАННИТЕ " . КАКВИ ТОЧНО СА ТЕЗИ ЕКСПЕРТИ ?
Тази служба остава към момента незадоволително разбрана. Част от фирмите разпореждат функционалността на ДЛЗД на юриста, счетоводителя, експерта по човешки запаси и така нататък, едвам покажат, че такова лице е назначено. Без действително да му спомагат и да подкрепят определения чиновник да бъде квалифициран да извършва отговорностите си.
Отговорността още веднъж е на висшия мениджмънт и в случай че той е избрал погрешен специалист или не го развива, от това ще загуби компанията. Ако пък се реши, че това е бюджетно голословно, по-добре да се аутсорсне длъжността към готови специалисти в региона, отколко да се предприеме проформа назначение. Недостатъчно добре квалифицираният чиновник може да коства скъпо .
КАКВО ОЗНАЧАВА ДА СИ ВЪНШЕН DPO ( ДЛЗД ) ЗА ЕДНА КОМПАНИЯ ?
Външният DPO (Data protection officer) би трябвало да има дълбоки експертни знания по характерната материя, както и да схваща спецификите на дадената компания, за която ще работи. Да може да предлага изобретателни решения и да ги комуникира добре. Това постоянно изисква самообладание в огромни дози и качества да се водят договаряния.
Много от въпросите, по които работим, се вземат решение вследствие на задълбочени изследвания на екип от специалисти. Така стигаме до най-правилното решение за съответната обстановка. Един добър DPO не би трябвало да е блокиращ за бизнес процесите, а да оказва помощ те да са в сходство с регламента. Най-лесно е да се каже на компанията: " Това не може, тъй като не дава отговор на GDPR. " А в действителност задачата е ги посъветваш по какъв начин да трансформират процеса, тъй че всичко да е по разпоредбите, и самото събиране на данни да носи изгода на организацията.
Друг комплициран миг на този стадий е уреждането на взаимоотношенията с третите лица, най-често с обработващите персонални данни. Едните не желаят да поемат никакви отговорности , другите назад – желаят да трансферират всичко в отговорност на другия .
В практиката си срещаме жестоки условия, които някои от по-големите компании постановат на подизпълнителите си. В някои от случаите това води до напълно ненужни разноски за дребния бизнес, още повече, че не дава отговор на смисъла и философията на GDPR.
Тук е точно ролята на едно положително DPO – да познава добре законодателството, да умее да прави разбори и обосновано, при отчитане на риска, да поучава компанията да вземе едно или друго решение. Точно тази аргументираност на решенията ще има основна роля при доказване на спазването на условията на GDPR при положение на нужда.
ЗАЩО ОТ АСОЦИАЦИЯТА РЕШИХТЕ ДА ПРЕДОСТАВЯТЕ АУТСОРС УСЛУГИ ?
Целта на Асоциацията е освен да бъдат по - добре предпазени физическите лица и техните данни , само че и да бъдем потребни на бизнеса с опита и знанията , които имаме .
С нашата работа съумяваме да обединим разнообразни специалисти. Към Асоциацията се причислиха експерти, които имат опит както в частния, по този начин и в обществения бранш, като по този начин експертизата ни към този момент се простира оттатък профилираната " GDPR-ска " подготовка.
Работата ни, в това число посредством партньорството ни с БТПП, през последните две години дава доста положителни резултати. Разпознаваеми сме като експертна организация, в това число от страна на основни институции. Чрез нашата активност подкрепяме и сме дейни участници в лекции, семинари, конгреси, в законодателния развой.
В този интервал от ден на ден компании започнаха да се обръщат към нас за подпомагане, а аутсорсването разрешава разнообразни, гъвкави форми на взаимоотношение. Могат да бъдат аутсорснати единствено инспекциите или образованията, или единствено оценките, и това е доста сполучлив вид за някои компании.
Всичко изброено докара до разумната стъпка - започнахме да предлагаме решения за бизнеса под формата на аутсорсване на действия в региона на отбраната на персоналните данни (https://mydata.bg/konsultatsii-i-dpo-autsors/)
КАКВА Е РОЛЯТА НА ДРУГИТЕ СЛУЖИТЕЛИ, СЛЕД АУТСОРСВАНЕТО НА ДЕЙНОСТТА ?
Служителите са и си остават най - уязвимото място на компанията . Редица интернационалните проучвания сочат, че огромна част от пробивите в сигурността или нарушаванията на законодателството се дължат на неведение или нехайство от страна на чиновниците.
Като резултат от взаимната ни работа с дадена компания, с изключение на спокойствието на висшия мениджмънт, ние постоянно търсим и повишение равнището на информираност на самите чиновници. Опитваме се да го вършим по елементарен, неангажиращ за тях метод. Само когато чиновниците стартират да имат нужната сензитивност по тези въпроси сме сигурни , че сме свършили добре работата .
Източник: dnevnik.bg
КОМЕНТАРИ