Данните за клиентите са ни скъпи
© Юлия Лазарова
Ива Габракова, IT и консултантска компания Indeavr Информацията за клиента може да се трансформира от един от най-ценните активи в най-големия разход на всяка компания. [натиснете за цялостен размер]
Автор: Капитал Още по тематиката
Графика на деня: Четири пети от хората в България не дават персонални данни в интернет
5 сеп 2017
Интернет фирмите са под напън поради отбраната на персонални данни
Властите от ден на ден желаят от фирмите да разкриват поверителна информация
30 авг 2017 Нов правилник за отбрана на персоналните данни и голяма санкция. Европейският парламент притегли вниманието на бизнеса с изречение от новия правилник за отбрана на персоналните данни, съгласно което " санкцията е 20 млн. евро, или 4% от оборота, което от двете е по-високо ". Сумата прозвуча толкоз неуместно, че множеството компании решиха, че това надали се отнася до тях. В резултат най-вече най-големите компании с бизнес в Европейски Съюз започнаха дейности, с цел да отговорят на условията на регламента, макар че обсегът е доста по-мащабен. Все още има време и за по-малките и междинните компании да подхващат стъпки в вярната посока.
Клиентът е цар
Новата регулация е позната главно като GDPR (General Data Protection Regulation). В обсега й са включени всички компании, които под някаква форма събират или употребяват персонални данни на клиенти от Европейски Съюз. Малките и междинните бизнеси също са наранени, като са планувани специфични облекчения за понижаване на административния товар.
И до момента надзорът върху админите на персонални данни беше непоколебим, само че с новите правила, въвеждани от GDPR, жителите ще имат повече надзор върху това кой има достъп до техните данни. Част от новите ограничения включват събиране на категорично документално единодушие от субектите за предпазване и обработка на техните данни в избрани случаи. Също по този начин всяко приключване на персонална информация би трябвало да бъде оповестено пред регулатора. Най-съществената смяна обаче е правото на клиента да бъде пропуснат, или с други думи - да изиска фирмите, които нямат правно съображение да държат техни данни, да ги изтрият.
Обратното преброяване (отдавна) стартира
GDPR регулацията влиза в действие от 25.05.2018 година Това значи, че времето за подготовка може да не е задоволително за множеството бизнеси. Особено за тези, които до момента са пренебрегвали основаването на процедура и политика за ръководство на данните за клиента. Изключение са компаниите, сертифицирани по ISO 27001 (управление на сигурността на данните), тъй като би трябвало да дават отговор на множеството съществени условия на регулацията.
В инфографиката към текста са разказани в резюме главните стъпки, чието осъществяване всяка компания би трябвало да планува, с цел да се приготви за GDPR.
#1 Буквата на закона
Първата съществена стъпка при подготовката за GDPR е обезпечаване на съответна информация и консултация за степента, до която регулацията визира съответната компания и активност. Най-често експертна оценка може да се получи от способен правист (вътрешен или външен за компанията), като неговото мнение е добра насочна точка за съставянето на проект по какъв начин да се комуникира тематиката и до каква степен да се ангажират обособените звена във компанията.
Всички равнища на ръководство в компанията могат да бъдат потребни при дефиниране на обособени функционалности, които би трябвало да бъдат основани или изменени, с цел да се отговори на GDPR условията, както, несъмнено, при съставянето на времеви проект и определянето на нужните запаси за неговото осъществяване. В общия случай фирмите би трябвало да ангажират правния отдел (или партньорската компания, която ги обслужва правно), ИТ отдела и екипа, който обслужва клиентите (фронт офис). Внимателното обмисляне кой, какво и по какъв начин ще направи, с цел да се реализира сходството, ще разреши надзор на разноските по осъществяване на проекта и ще предотврати прахосване на скъпо време в неверна посока.
#2 Идентифициране на източниците и потребителите на данни
Голяма част от фирмите имат повече от един източник на персонални данни и повече от един развой, който включва работа с тези данни. Анализът и документирането на процесите на придвижване на данните вътре в организацията може да бъдат изпълнени под формата на вътрешен одит. Тази стъпка, наложителна част от процеса на подготовка за сходство с GDPR, включва минимум подготовката и осъществяването на дейностите по детайлно изложение и документиране на съхраняваните данни. На основата на правилно документирани процеси по култивиране на данни компанията може да възнамерява въвеждане и съблюдаване на ефикасни практики за работа с персонални данни, като част от тактика за осъществяване условията на GDPR регулацията.
#3 План за деяние
След определяне на настоящото положение на политиките и процесите, свързани с обработката на персонални данни, би следвало да се продължи с адаптирането им към условията на GDPR регулацията. Полезен инструмент в този миг е квалифициран от екипа проект за деяние, чиято цел е да се опишат методите, по които ще се адресират установените при разбора пропуски и несъответствия. Планът дава отговор на въпросите какво тъкмо ще бъде бъдещото положение на процесите, при което ще се реализира и поддържа сходството с GDPR регулацията. Внимателното координиране на проекта за деяние с всички заинтригувани от неговото осъществяване страни ще разреши да се избегнат конфликтни стъпки в процесите.
#4 Изпълнението на проекта от стъпка #3
Както всеки проект, който минава от фаза на приемане към фаза на осъществяване, и в този случай се изисква внимание и наблюдаване и реализиране на добър баланс сред потреблението на вътрешни за компанията запаси и външна подготвеност. Практиката демонстрира, че най-често проектът за деяние адресира пропуски в две съществени посоки: липса на техническа обезпеченост, като да вземем за пример програмен продукт за несъмнено предпазване, ръководство и наблюдаване на достъпа до данните, и политики, които не съумяват съответно или в сходство с GDPR регулацията да дефинират разпоредбите при работа с персонални данни.
Пример за предизвикателство пред фирмите е обезпечаването на категорично документално единодушие за обработка на данните на клиента в характерни случаи - спазването на това условие може да значи въвеждане на нова процедура за документиране на единодушието по метод, който не забавя или затруднява главните процеси във компанията.
#5 Постоянно на фокус
Внедряването на нужните промени и достигането до положение на процесите, което да подхожда на GDPR регулацията, е единствено началото. Поддържането на сходство изисква старания за непрекъснато възстановяване на отбраната на персонални данни в компанията. Наблюдението на променените процеси може да бъде доста улеснено със специфични софтуерни принадлежности, които да обезпечат толкоз нужния надзор, в това число и върху риска от човешка неточност.
Подводни камъни
Спазването на всички планувани в регулацията права на жителите на Европейски Съюз може да бъде ненадейно съществено предизвикателство пред фирмите. Пример за това е въведеното право на човек да изиска от компанията да даде всички данни, които има за него, в електронен формат и в период от 1 месец. Безвъзмездно. Краткият период може да е предизвикателство за бизнес, който съхранява информация на книжен притежател или в неизвестен формат, както и за компания, която би получила голям брой сходни запитвания.
Под зоркото око на КЗЛД
В България използването на регулацията е в ресора на Комисия за отбрана на персоналните данни. Компаниите ще би трябвало да изпращат информация до комисията за установени нарушавания в сигурността, свързани с персоналните данни, освен това в границите на 72 часа. Краткият период изисква основаване на характерни и ефикасни процеси за идентифициране, комуникиране и справяне с пробивите в сигурността на персоналните данни. Отговор на сходно предизвикателство може да бъде открит в цифровизация на процеса на ръководство на осведомителната сигурност.
Назначаване на страж на данните
Необходимо, а за някои компании наложително, е да се дефинира длъжностно лице, което да дава отговор за спазването на политиките, свързани със отбрана на данните. Този човек може да е както вътрешен за организацията, по този начин и нает извън способен съветник.
Партньорства
Разбирането и подготовката за GDPR са предизвикателство за доста от локалните компании. Предвид спецификите на материята, нужните промени могат да бъдат превърнати от наложителни в потребни за бизнеса. Когато компанията желае да усъвършенства потенциала си в процеса на подготовка или осъществяване на измененията, може да ангажира юридически или механически специалисти в региона на отбраната на персоналните данни, с което да отговори и на още едно предизвикателство също така за комплексността на материята - късият период сред днешния ден и датата, след която може да бъде извършител, заплашен от санкции. 
Ива Габракова, IT и консултантска компания Indeavr Информацията за клиента може да се трансформира от един от най-ценните активи в най-големия разход на всяка компания. [натиснете за цялостен размер]
Автор: Капитал Още по тематиката
Графика на деня: Четири пети от хората в България не дават персонални данни в интернет
5 сеп 2017
Интернет фирмите са под напън поради отбраната на персонални данни
Властите от ден на ден желаят от фирмите да разкриват поверителна информация
30 авг 2017 Нов правилник за отбрана на персоналните данни и голяма санкция. Европейският парламент притегли вниманието на бизнеса с изречение от новия правилник за отбрана на персоналните данни, съгласно което " санкцията е 20 млн. евро, или 4% от оборота, което от двете е по-високо ". Сумата прозвуча толкоз неуместно, че множеството компании решиха, че това надали се отнася до тях. В резултат най-вече най-големите компании с бизнес в Европейски Съюз започнаха дейности, с цел да отговорят на условията на регламента, макар че обсегът е доста по-мащабен. Все още има време и за по-малките и междинните компании да подхващат стъпки в вярната посока.
Клиентът е цар
Новата регулация е позната главно като GDPR (General Data Protection Regulation). В обсега й са включени всички компании, които под някаква форма събират или употребяват персонални данни на клиенти от Европейски Съюз. Малките и междинните бизнеси също са наранени, като са планувани специфични облекчения за понижаване на административния товар.
И до момента надзорът върху админите на персонални данни беше непоколебим, само че с новите правила, въвеждани от GDPR, жителите ще имат повече надзор върху това кой има достъп до техните данни. Част от новите ограничения включват събиране на категорично документално единодушие от субектите за предпазване и обработка на техните данни в избрани случаи. Също по този начин всяко приключване на персонална информация би трябвало да бъде оповестено пред регулатора. Най-съществената смяна обаче е правото на клиента да бъде пропуснат, или с други думи - да изиска фирмите, които нямат правно съображение да държат техни данни, да ги изтрият.
Обратното преброяване (отдавна) стартира
GDPR регулацията влиза в действие от 25.05.2018 година Това значи, че времето за подготовка може да не е задоволително за множеството бизнеси. Особено за тези, които до момента са пренебрегвали основаването на процедура и политика за ръководство на данните за клиента. Изключение са компаниите, сертифицирани по ISO 27001 (управление на сигурността на данните), тъй като би трябвало да дават отговор на множеството съществени условия на регулацията.
В инфографиката към текста са разказани в резюме главните стъпки, чието осъществяване всяка компания би трябвало да планува, с цел да се приготви за GDPR.
#1 Буквата на закона
Първата съществена стъпка при подготовката за GDPR е обезпечаване на съответна информация и консултация за степента, до която регулацията визира съответната компания и активност. Най-често експертна оценка може да се получи от способен правист (вътрешен или външен за компанията), като неговото мнение е добра насочна точка за съставянето на проект по какъв начин да се комуникира тематиката и до каква степен да се ангажират обособените звена във компанията.
Всички равнища на ръководство в компанията могат да бъдат потребни при дефиниране на обособени функционалности, които би трябвало да бъдат основани или изменени, с цел да се отговори на GDPR условията, както, несъмнено, при съставянето на времеви проект и определянето на нужните запаси за неговото осъществяване. В общия случай фирмите би трябвало да ангажират правния отдел (или партньорската компания, която ги обслужва правно), ИТ отдела и екипа, който обслужва клиентите (фронт офис). Внимателното обмисляне кой, какво и по какъв начин ще направи, с цел да се реализира сходството, ще разреши надзор на разноските по осъществяване на проекта и ще предотврати прахосване на скъпо време в неверна посока.
#2 Идентифициране на източниците и потребителите на данни
Голяма част от фирмите имат повече от един източник на персонални данни и повече от един развой, който включва работа с тези данни. Анализът и документирането на процесите на придвижване на данните вътре в организацията може да бъдат изпълнени под формата на вътрешен одит. Тази стъпка, наложителна част от процеса на подготовка за сходство с GDPR, включва минимум подготовката и осъществяването на дейностите по детайлно изложение и документиране на съхраняваните данни. На основата на правилно документирани процеси по култивиране на данни компанията може да възнамерява въвеждане и съблюдаване на ефикасни практики за работа с персонални данни, като част от тактика за осъществяване условията на GDPR регулацията.
#3 План за деяние
След определяне на настоящото положение на политиките и процесите, свързани с обработката на персонални данни, би следвало да се продължи с адаптирането им към условията на GDPR регулацията. Полезен инструмент в този миг е квалифициран от екипа проект за деяние, чиято цел е да се опишат методите, по които ще се адресират установените при разбора пропуски и несъответствия. Планът дава отговор на въпросите какво тъкмо ще бъде бъдещото положение на процесите, при което ще се реализира и поддържа сходството с GDPR регулацията. Внимателното координиране на проекта за деяние с всички заинтригувани от неговото осъществяване страни ще разреши да се избегнат конфликтни стъпки в процесите.
#4 Изпълнението на проекта от стъпка #3
Както всеки проект, който минава от фаза на приемане към фаза на осъществяване, и в този случай се изисква внимание и наблюдаване и реализиране на добър баланс сред потреблението на вътрешни за компанията запаси и външна подготвеност. Практиката демонстрира, че най-често проектът за деяние адресира пропуски в две съществени посоки: липса на техническа обезпеченост, като да вземем за пример програмен продукт за несъмнено предпазване, ръководство и наблюдаване на достъпа до данните, и политики, които не съумяват съответно или в сходство с GDPR регулацията да дефинират разпоредбите при работа с персонални данни.
Пример за предизвикателство пред фирмите е обезпечаването на категорично документално единодушие за обработка на данните на клиента в характерни случаи - спазването на това условие може да значи въвеждане на нова процедура за документиране на единодушието по метод, който не забавя или затруднява главните процеси във компанията.
#5 Постоянно на фокус
Внедряването на нужните промени и достигането до положение на процесите, което да подхожда на GDPR регулацията, е единствено началото. Поддържането на сходство изисква старания за непрекъснато възстановяване на отбраната на персонални данни в компанията. Наблюдението на променените процеси може да бъде доста улеснено със специфични софтуерни принадлежности, които да обезпечат толкоз нужния надзор, в това число и върху риска от човешка неточност.
Подводни камъни
Спазването на всички планувани в регулацията права на жителите на Европейски Съюз може да бъде ненадейно съществено предизвикателство пред фирмите. Пример за това е въведеното право на човек да изиска от компанията да даде всички данни, които има за него, в електронен формат и в период от 1 месец. Безвъзмездно. Краткият период може да е предизвикателство за бизнес, който съхранява информация на книжен притежател или в неизвестен формат, както и за компания, която би получила голям брой сходни запитвания.
Под зоркото око на КЗЛД
В България използването на регулацията е в ресора на Комисия за отбрана на персоналните данни. Компаниите ще би трябвало да изпращат информация до комисията за установени нарушавания в сигурността, свързани с персоналните данни, освен това в границите на 72 часа. Краткият период изисква основаване на характерни и ефикасни процеси за идентифициране, комуникиране и справяне с пробивите в сигурността на персоналните данни. Отговор на сходно предизвикателство може да бъде открит в цифровизация на процеса на ръководство на осведомителната сигурност.
Назначаване на страж на данните
Необходимо, а за някои компании наложително, е да се дефинира длъжностно лице, което да дава отговор за спазването на политиките, свързани със отбрана на данните. Този човек може да е както вътрешен за организацията, по този начин и нает извън способен съветник.
Партньорства
Разбирането и подготовката за GDPR са предизвикателство за доста от локалните компании. Предвид спецификите на материята, нужните промени могат да бъдат превърнати от наложителни в потребни за бизнеса. Когато компанията желае да усъвършенства потенциала си в процеса на подготовка или осъществяване на измененията, може да ангажира юридически или механически специалисти в региона на отбраната на персоналните данни, с което да отговори и на още едно предизвикателство също така за комплексността на материята - късият период сред днешния ден и датата, след която може да бъде извършител, заплашен от санкции. 
Източник: capital.bg
КОМЕНТАРИ