Как големите се готвят за GDPR?
Иван Гайдаров
По малко от четири месеца преди да влезе в действие Общият правилник за отбрана на персоналните данни на Европейски Съюз (GDPR) – 25 май 2018 година - едвам 228 български компании се включват в допитване по тематиката на “Телелинк” и “Алфа рисърч” измежду членовете на КРИБ. Това разгласи по време на извършената в границите на Българското председателство на Съвета на Европейски Съюз конференция “GDPR Sofia” Любомир Минчев, създател и изпълнителен шеф на българския систематичен интегратор “Телелинк”. Събитието събра специалисти от международния бизнес, държавната администрация и европейските институции, които разискаха другите аспекти към регулациите, които вкарва GDPR в областта на обработката и съхранението на персонални данни на жители на Европейски Съюз.
По време на своето изявление Минчев бе безапелационен: “Въпреки че нямаме задоволително информация, с цел да бъде представително изследването, е реалност, че множеството от фирмите, които би трябвало да са наясно с регламента, се опасяват даже да попълнят въпросник. Нашето мнение е, че огромна част от българските компании не са осведомени с условията.”
За разлика от обстановката в народен мащаб, световни играчи като Фейсбук, Гугъл и Telenor Group създават своите тактики за сигурност на персоналните данни на потребителите от години. И макар товапредизвикателствата, които новият правилник слага пред тях, изискват изключителни старания и поредни, целенасочени дейности.
Telenor Group
“Често на GDPR се гледа като на продължение на съществуващите условия, въведени по силата на директивата от 1995 година, тъй че на пръв взор би трябвало да е елементарно за фирмите да съблюдават новите условия. Но внезапно регулаторите получават съществени принадлежности да постановат тези условия, което кара доста организации сега да наваксват с изоставането си в стандартите си за отбрана на персоналните данни и да вкарват принадлежности и решения, които е трябвало да бъдат въведени преди години. Затова преди всичко е нужна добра тактика и фокусиране на усилията”, обърна внимание Николай Пфайфер, вицепрезидент и шеф по сигурността на Telenor Group, и добави, че когато става дума за GDPR, основната дума е тактика.
Telenor Group оперира на седем европейски пазара и работи върху условията на Общия правилник за отбрана на персоналните данни от април 2016 година “В началото имахме потребност да разберем какво тъкмо изисква регламентът. Той има три съществени съставния елемент – да схванеш какви персонални данни имаш, да ги защитаваш и да спазващ регулациите във връзка с правата на субектите на персонални данни. Всяка компания би трябвало да се запита какво значи за нея това. Изводът би трябвало да се преведе на характерен корпоративен език, който е друг за всяка една организация. За Telenor се трансформира в 108 съответни условия, които да изпълним”, описа Пфайфер.
По думите му, с цел да разбере една организация накъде да насочи този разбор, е значимо да стартира с картографиране на данните, които има, след което би трябвало да бъде открита и най-високата степен на риск.
“Повечето европейски компании виждат 25 май като период, само че това не е краят. Трябва непрекъснато да се усъвършенстваме, да имаме проект за оптимизация на практиките за отбрана на данните. За подготовката на тези процедури е нужно време, само че откакто към този момент сте почнали процеса, би трябвало да сте наясно с условията за вашия съответен бизнес. За някои компании това е юридически въпрос, само че в действителност регламентът се отразява и на хората, и на процедурите, и на осведомителните технологии. Когато стартира вашият план, експертите, които дават отговор за него, би трябвало да вземат участие в цялостна промяна на компанията в посока съблюдаване на GDPR – маркетинг, юридически отдел, върховен мениджмънт и така нататък Точните цели са от извънредно значение за крайния излаз на проекта”, разяснява още Николай Пфайфер.
Гугъл
Технологичният колос Гугъл също е от фирмите, които обръщат особено внимание на работата с персонални данни и влагат доста старания, с цел да отговорят на високите условия, които слага GDPR.
“Oтнасяме се извънредно съществено към регламента за отбрана на персоналните данни и отделяме доста огромен запас в тази посока. Включително беше основан комитет, който да следи звената, ангажирани в плана. Вътрешният развой при нас стартира още сега, в който законодателството беше финализирано, като в него присъединяване взимат инженери, продуктови мениджъри, юридически отдел и изобщо всички равнища в компанията”, сподели по време на форума “GDPR Sofia” Лана Донъли, управител на отдела на Гугъл, който дава отговор за поверителността и отбраната на данните в район EMEA (Европа, Среден Изток и Африка).
По думите на Донъли компанията има два съществени фокуса, когато става дума за условията на GDPR
“Първият е да изменим продуктите си по този начин, че да дават отговор на новите условия. Това е опция да подобрим контрола си, да използван още по-голяма бистрота и това да окаже световно въздействие върху всички наши услуги. Трябва да се означи също по този начин, че стартирахме от положителни позиции, откакто преди няколко години пуснахме инструмента “My account” и това заложи стандартите на модел за дискретност. Този инструмент съдържа всички поверителни данни на потребителя и история какви действия са осъществявани през неговия профил. Също по този начин от 2011 година имаме и “Google Take out”, който също беше крачка в вярната посока”, разяснява Донъли и добави, че главният принцип, от който се управлява компанията, е да се употребява контролът, осъществяван от самите консуматори.
Вторият главен фокус на софтуерния колос пада върху отговорността. “GDPR значи за всички компании, че би трябвало да доближат ново равнище на зрялост в метода, по който се употребяват персоналните данни, и да приложат избрани вътрешни процеси, с цел да могат да потвърдят на потребителите във всеки един миг, че вършат верните неща и съблюдават законите. Също по този начин това значи един непрекъснат разговор сред бизнеса и регулаторите, с цел да могат да се изведат най-хубавите практики”, счита Лана Донъли.
Голямото предизвикателство обаче идва от сложността на условията на GDPR, а също и от обстоятелството, че регламентът не е един шаблон, който да е подобаващ за всяка организация, а развой, в който всеки един би трябвало да откри своите самостоятелни стъпки. Затова от Гугъл са се нагърбили със задачата да подкрепят своите корпоративни сътрудници – клиенти и снабдители – с ясната концепция, че добре развитата и отговаряща на условията екосистема е от извънредно значение за компанията.
“През юни дадохме старт на нашата платформа privacy.google.com, която изяснява по какъв начин Гугъл възнамерява да съблюдава GDPR и какви наши артикули могат да употребяват фирмите в тази посока. Cookiechoices.org е различен план, който започнахме. Там става дума за условията на GDPR при потребление на “бисквитки”, изясни още Лана Донъли и обърна внимание, също както Николай Пфайфер от Telenor Group, че влизането в действие на новите регулации надалеч не са краят, а просто един стадий от развиването на концепцията за отбрана на персоналните данни на потребителите.
Фейсбук
“Facebook работи по построяването на политика за съблюдаване на GDPR от години. Сърцевината на тази работа е обвързвана напълно със основаване на по-добро потребителско прекарване, защото регламентът вкарва механизми, които подсигуряват бистрота и надзор. Преди дни даже обявихме набор от правила за бистрота и надзор. Имаме и нова просветителна видеокампания. Публикувахме видеоклипове, отдадени на редица тематики към неприкосновенността на данните – по какъв начин да преглеждате старите постове, по какъв начин да контролирате информацията си и даже по какъв начин да изтриете профила си”, описа на собствен ред Стив Сатърфийлд, шеф на екипа за неприкосновенност на персоналните и публичните данни във Фейсбук, като добави, че компанията също по този начин е стартирала инструмент, наименуван Център за отбрана на данни, който съставлява секция в обществената платформа, която дава елементарен достъп до всички контроли за дискретност.
“Неприкосновеността е въпрос на модел и дизайн, което е обвързвано директно с прекарването на потребителите. Това се назовава използваема цялост на данните – отбрана, с която насърчаваме хората да поемат надзор върху персоналната си информация и да не подценяват сигурността, да не кликат без да мислят. Защитата на данните е доста значима част от метода, по който се усещат потребителите. Затова желаеме да ги насърчим да бъдат дейни. Не на последно място, в наш интерес е екосистемата да процъфтява и да съблюдава закона. Затова изразходваме и доста време да си приказваме с дребните и междинни компании за GDPR”, описа Сатърфийлд.
И трите компании обаче показаха своите опасения, че GDPR може да се окаже нож с две остриета от позиция на потребителите.
“GDPR е нов режим, основан на единодушието. Затова би трябвало да си отговорим на въпроса дали единодушието е най-хубавият метод за отбрана на неприкосновеността. Ние сме загриженим, че този метод може да насърчи потребителите в действителност да изтърван контрола. Нещо повече – наличието на регламента трансферира тежестта върху индивида, а не върху админа. Приканвайки хората непрестанно да се съгласяват, ние им прехвърляме забележителен товар. Трябва да приказваме за това дали тази централизация върху единодушието е адекватна”, считат от Фейсбук.
От Telenor Group пък предизвестиха, че би трябвало доста да се внимава новият правилник да не се трансформира в спирачка за нововъведенията на европейска територия.
“Европейската правна рамка както поддържа нововъведенията, по този начин и поставя граници пред тях. В същото време в Китай няма характерни правни рамки и услугите, които Alibaba да вземем за пример предлага там, са доста напредничави. И макар че на някои от тях в Европа би се гледало като на нарушаване на права, те подтикват развиването на технологиите. Трябва да внимаваме по какъв начин формулираме нашите регулации, с цел да не се окаже, че възпрепятстваме нововъведенията и оставаме надалеч обратно от други региони”, безапелационен е Николай Пфайфер от Telenor Group.
По малко от четири месеца преди да влезе в действие Общият правилник за отбрана на персоналните данни на Европейски Съюз (GDPR) – 25 май 2018 година - едвам 228 български компании се включват в допитване по тематиката на “Телелинк” и “Алфа рисърч” измежду членовете на КРИБ. Това разгласи по време на извършената в границите на Българското председателство на Съвета на Европейски Съюз конференция “GDPR Sofia” Любомир Минчев, създател и изпълнителен шеф на българския систематичен интегратор “Телелинк”. Събитието събра специалисти от международния бизнес, държавната администрация и европейските институции, които разискаха другите аспекти към регулациите, които вкарва GDPR в областта на обработката и съхранението на персонални данни на жители на Европейски Съюз.
По време на своето изявление Минчев бе безапелационен: “Въпреки че нямаме задоволително информация, с цел да бъде представително изследването, е реалност, че множеството от фирмите, които би трябвало да са наясно с регламента, се опасяват даже да попълнят въпросник. Нашето мнение е, че огромна част от българските компании не са осведомени с условията.”
За разлика от обстановката в народен мащаб, световни играчи като Фейсбук, Гугъл и Telenor Group създават своите тактики за сигурност на персоналните данни на потребителите от години. И макар товапредизвикателствата, които новият правилник слага пред тях, изискват изключителни старания и поредни, целенасочени дейности.
Telenor Group
“Често на GDPR се гледа като на продължение на съществуващите условия, въведени по силата на директивата от 1995 година, тъй че на пръв взор би трябвало да е елементарно за фирмите да съблюдават новите условия. Но внезапно регулаторите получават съществени принадлежности да постановат тези условия, което кара доста организации сега да наваксват с изоставането си в стандартите си за отбрана на персоналните данни и да вкарват принадлежности и решения, които е трябвало да бъдат въведени преди години. Затова преди всичко е нужна добра тактика и фокусиране на усилията”, обърна внимание Николай Пфайфер, вицепрезидент и шеф по сигурността на Telenor Group, и добави, че когато става дума за GDPR, основната дума е тактика.
Telenor Group оперира на седем европейски пазара и работи върху условията на Общия правилник за отбрана на персоналните данни от април 2016 година “В началото имахме потребност да разберем какво тъкмо изисква регламентът. Той има три съществени съставния елемент – да схванеш какви персонални данни имаш, да ги защитаваш и да спазващ регулациите във връзка с правата на субектите на персонални данни. Всяка компания би трябвало да се запита какво значи за нея това. Изводът би трябвало да се преведе на характерен корпоративен език, който е друг за всяка една организация. За Telenor се трансформира в 108 съответни условия, които да изпълним”, описа Пфайфер.
По думите му, с цел да разбере една организация накъде да насочи този разбор, е значимо да стартира с картографиране на данните, които има, след което би трябвало да бъде открита и най-високата степен на риск.
“Повечето европейски компании виждат 25 май като период, само че това не е краят. Трябва непрекъснато да се усъвършенстваме, да имаме проект за оптимизация на практиките за отбрана на данните. За подготовката на тези процедури е нужно време, само че откакто към този момент сте почнали процеса, би трябвало да сте наясно с условията за вашия съответен бизнес. За някои компании това е юридически въпрос, само че в действителност регламентът се отразява и на хората, и на процедурите, и на осведомителните технологии. Когато стартира вашият план, експертите, които дават отговор за него, би трябвало да вземат участие в цялостна промяна на компанията в посока съблюдаване на GDPR – маркетинг, юридически отдел, върховен мениджмънт и така нататък Точните цели са от извънредно значение за крайния излаз на проекта”, разяснява още Николай Пфайфер.
Гугъл
Технологичният колос Гугъл също е от фирмите, които обръщат особено внимание на работата с персонални данни и влагат доста старания, с цел да отговорят на високите условия, които слага GDPR.
“Oтнасяме се извънредно съществено към регламента за отбрана на персоналните данни и отделяме доста огромен запас в тази посока. Включително беше основан комитет, който да следи звената, ангажирани в плана. Вътрешният развой при нас стартира още сега, в който законодателството беше финализирано, като в него присъединяване взимат инженери, продуктови мениджъри, юридически отдел и изобщо всички равнища в компанията”, сподели по време на форума “GDPR Sofia” Лана Донъли, управител на отдела на Гугъл, който дава отговор за поверителността и отбраната на данните в район EMEA (Европа, Среден Изток и Африка).
По думите на Донъли компанията има два съществени фокуса, когато става дума за условията на GDPR
“Първият е да изменим продуктите си по този начин, че да дават отговор на новите условия. Това е опция да подобрим контрола си, да използван още по-голяма бистрота и това да окаже световно въздействие върху всички наши услуги. Трябва да се означи също по този начин, че стартирахме от положителни позиции, откакто преди няколко години пуснахме инструмента “My account” и това заложи стандартите на модел за дискретност. Този инструмент съдържа всички поверителни данни на потребителя и история какви действия са осъществявани през неговия профил. Също по този начин от 2011 година имаме и “Google Take out”, който също беше крачка в вярната посока”, разяснява Донъли и добави, че главният принцип, от който се управлява компанията, е да се употребява контролът, осъществяван от самите консуматори.
Вторият главен фокус на софтуерния колос пада върху отговорността. “GDPR значи за всички компании, че би трябвало да доближат ново равнище на зрялост в метода, по който се употребяват персоналните данни, и да приложат избрани вътрешни процеси, с цел да могат да потвърдят на потребителите във всеки един миг, че вършат верните неща и съблюдават законите. Също по този начин това значи един непрекъснат разговор сред бизнеса и регулаторите, с цел да могат да се изведат най-хубавите практики”, счита Лана Донъли.
Голямото предизвикателство обаче идва от сложността на условията на GDPR, а също и от обстоятелството, че регламентът не е един шаблон, който да е подобаващ за всяка организация, а развой, в който всеки един би трябвало да откри своите самостоятелни стъпки. Затова от Гугъл са се нагърбили със задачата да подкрепят своите корпоративни сътрудници – клиенти и снабдители – с ясната концепция, че добре развитата и отговаряща на условията екосистема е от извънредно значение за компанията.
“През юни дадохме старт на нашата платформа privacy.google.com, която изяснява по какъв начин Гугъл възнамерява да съблюдава GDPR и какви наши артикули могат да употребяват фирмите в тази посока. Cookiechoices.org е различен план, който започнахме. Там става дума за условията на GDPR при потребление на “бисквитки”, изясни още Лана Донъли и обърна внимание, също както Николай Пфайфер от Telenor Group, че влизането в действие на новите регулации надалеч не са краят, а просто един стадий от развиването на концепцията за отбрана на персоналните данни на потребителите.
Фейсбук
“Facebook работи по построяването на политика за съблюдаване на GDPR от години. Сърцевината на тази работа е обвързвана напълно със основаване на по-добро потребителско прекарване, защото регламентът вкарва механизми, които подсигуряват бистрота и надзор. Преди дни даже обявихме набор от правила за бистрота и надзор. Имаме и нова просветителна видеокампания. Публикувахме видеоклипове, отдадени на редица тематики към неприкосновенността на данните – по какъв начин да преглеждате старите постове, по какъв начин да контролирате информацията си и даже по какъв начин да изтриете профила си”, описа на собствен ред Стив Сатърфийлд, шеф на екипа за неприкосновенност на персоналните и публичните данни във Фейсбук, като добави, че компанията също по този начин е стартирала инструмент, наименуван Център за отбрана на данни, който съставлява секция в обществената платформа, която дава елементарен достъп до всички контроли за дискретност.
“Неприкосновеността е въпрос на модел и дизайн, което е обвързвано директно с прекарването на потребителите. Това се назовава използваема цялост на данните – отбрана, с която насърчаваме хората да поемат надзор върху персоналната си информация и да не подценяват сигурността, да не кликат без да мислят. Защитата на данните е доста значима част от метода, по който се усещат потребителите. Затова желаеме да ги насърчим да бъдат дейни. Не на последно място, в наш интерес е екосистемата да процъфтява и да съблюдава закона. Затова изразходваме и доста време да си приказваме с дребните и междинни компании за GDPR”, описа Сатърфийлд.
И трите компании обаче показаха своите опасения, че GDPR може да се окаже нож с две остриета от позиция на потребителите.
“GDPR е нов режим, основан на единодушието. Затова би трябвало да си отговорим на въпроса дали единодушието е най-хубавият метод за отбрана на неприкосновеността. Ние сме загриженим, че този метод може да насърчи потребителите в действителност да изтърван контрола. Нещо повече – наличието на регламента трансферира тежестта върху индивида, а не върху админа. Приканвайки хората непрестанно да се съгласяват, ние им прехвърляме забележителен товар. Трябва да приказваме за това дали тази централизация върху единодушието е адекватна”, считат от Фейсбук.
От Telenor Group пък предизвестиха, че би трябвало доста да се внимава новият правилник да не се трансформира в спирачка за нововъведенията на европейска територия.
“Европейската правна рамка както поддържа нововъведенията, по този начин и поставя граници пред тях. В същото време в Китай няма характерни правни рамки и услугите, които Alibaba да вземем за пример предлага там, са доста напредничави. И макар че на някои от тях в Европа би се гледало като на нарушаване на права, те подтикват развиването на технологиите. Трябва да внимаваме по какъв начин формулираме нашите регулации, с цел да не се окаже, че възпрепятстваме нововъведенията и оставаме надалеч обратно от други региони”, безапелационен е Николай Пфайфер от Telenor Group.
Източник: computerworld.bg
КОМЕНТАРИ