GDPR: Как да започнем подготовката?
Подобно на внедряването на ERP и CRM системи в бизнеса, нововъведението няма по какъв начин да е успешно, в случай че в смяната не е ангажирано управлението
Доколкото в множеството организации персоналните данни „ живеят ” в цифрови системи, работата им по GDPR в известна степен е облекчена
От 26 май тази година обработката и съхраняването на персонални данни във всяка организация подлежат на нова регулация – Общия правилник за отбрана на персоналните данни, или в резюме GDPR, която изисква доста по-стриктно запазване на деликатната персонална информация. За пробив в отбраната ѝ глобите са големи за мащаба и опциите на множеството български компании.
За да се приготвят за смяната, организациите могат занапред да подхващат редица стъпки, тъй че на 26 май да бъдат в сходство с новия общоевропейски норматив. Най-важното в тази подготовка е присъединяване на висшето управление на организацията.
Подобно на внедряването на ERP и CRM системи в бизнеса, нововъведението няма по какъв начин да е успешно, в случай че в смяната не е ангажирано управлението. Заедно с дейното присъединяване на топ-мениджмънта е значимо да се образуват екип и проект за деяние.
План за деяние
Шест са основните стъпки, които е належащо да извърви всяка организация в прехода към GDPR.
1. Ангажиране на висшето управление. От това зависи триумфът на плана за привеждане на организацията в сходство с условията на новия европейски правилник.
2. Сформиране на екип. В него би трябвало да вземат участие безусловно няколко основни позиции: правист на организацията, ИТ началник, управител по сходството с нормативната база („ compliance manager ”), експерт по сигурността, представител на финансов отдел, началник човешки запаси.
3. План: какво и по какъв начин ще се адресира. Този проект следва да включва:
– взимане на решение за разработване на така наречен „ GAP разбор ” – определяне на несъответствията сред настоящото положение на организацията по отношение на условията на регламента, дефинирани посредством локалния закон за персоналните данни, отразяващ GDPR;
– установяване дали „ GAP анализът ” ще се реализира вътрешно, единствено от екипа на организацията, или от външни консултанти. В идеалния случай се ползва композиция от двата метода. Външните консултанти имат значително преимущество: те насочват вниманието към значимите въпроси. Вътрешният екип пък се състои от експерти, който най-точно могат да отговорят на въпросите.
– реализация на „ GAP разбора ”. Тя зависи от размера на организацията и количеството на системите, които обработват персонални данни.
– правене на отчет с несъответствията – и рекомендации по какъв начин тези несъответствия да се преодолеят. За всяко отклоняване от условията може да има една или няколко рекомендации.
4. Внедряване на рекомендациите от GAP разбора. Това е дълъг развой, който е доста характерен за всяка организация – според от откритите несъответствия, от степента на автоматизация на процесите, от наличните запаси.
5. Обучение. Във всяка организация следва да се организира подготовка на екипа за работа в изискванията на новата регулация. Тренингът е желателно да има 2 елементи:
– Първата е „ общообразователна ” за всички чиновници на организацията, с цел да бъдат осведомени с главните положения в опазването на персоналните данни и да са наясно какво би трябвало и какво не би трябвало да вършат по повод персонални данни, съхранявани и обработвани във компанията. Служителите би трябвало да са осведомени с въпроси като що е персонални данни, по какъв начин следва да се отнасяме към тях, какво не трябва да вършим, кои са характерните действия за отбрана на данните.
– Второто образование е за профилиран екип на организацията. Той включва експерта, назначен за отговорник по персоналните данни (DPO), и всички, които работят в тясно съдействие с него. Заедно те би трябвало да преминат през подготовка за своите права и отговорности в боравенето с персонални данни, осъществяването на регулярни действия, вътрешно регулиране на равнището на подготовка, взаимоотношение с контролните органи – в това число права и обвързване при работа с регулаторите.
още по тематиката
Второто образование е с неотменима значимост за организациите, които назначават личен отговорник по персоналните данни (DPO). При работа по контракт с външен DPO е значимо да бъде открито равнището на подготовка на експерта. В случая организациите би трябвало да са наясно с неговите професионални качества и по-специално с експертните му знания в региона на законодателството и практиките за отбраната на данните.
Всяка организация сама преценя до каква степен несъмнено лице дава отговор на тези условия, прецизират от Комисията за отбрана на персоналните данни. Новият правилник не планува специфични условия за професионална подготовка. „ Предвид сложността на дилемите, които ДЗЛД би трябвало да извършва, се предлага лицето да има подобаващи знания както в региона на отбраната на персоналните данни, по този начин и в сферата, в която ще работи ”, прецизират от българския регулатор.
6. Оценка на въздействието на евентуален пробив. След подготовката на чиновниците на организацията е значимо да се изчислят евентуалните провали за организацията при възможна загуба на персонални данни или пробив в отбраната им. „ Добра стъпка в тази оценка е да се реши дали организацията не събира прекомерно огромно количество персонални данни, които не са фактически нужни ”, поучава Вихрен Славчев, шеф на Мнемоника.
Оценката на въздействието е обособен развой, който се организира още веднъж с присъединяване на огромна група експерти от компанията – финансист, правист, HR експерт, специалист по сигурността. Това може да е същата група, която осъществя цялостния проект за деяние, само че при оценката се употребяват характерни въпросници и методика ”, изяснява Славчев.
„ Наличието на логове е от повратно значение за опазването на персоналните данни ”, споделя Вихрен Славчев, шеф на Мнемоника
Оценката е директно обвързвана и с размера на глобите, които ще търпи организацията при пробив. Ако организацията съставлява част от група – да вземем за пример, от холдингова организация или консорциум, то значимо е да се оцени и какво ще е въздействието върху групата от евентуален пробив.
Такава оценка на въздействието следва да се прави регулярно: на всеки две години.
Автоматизация
Доколкото в множеството организации персоналните данни „ живеят ” в цифрови системи, то работата на мнозина е до известна степен облекчена. За доста от тези системи има налични средства за електронна отбрана. Организациите могат с едно или няколко софтуерни решения да защитят събираната и съхранявана персонална информация и да сведат до най-малко вероятността за допускане на човешка неточност.
„ Важно е да има указател на всички действия и да се пазят така наречен логове ”, поучава още Славчев. Като съветник точно в региона на сигурността и отбраната на данните екипът на Мнемоника горещо предлага съхраняването на логове. „ Наличието им е от повратно значение за опазването на персоналните данни ”.
Наред с това цифровите технологии разрешават и някои улеснения при прехода към GDPR и спазването на неговите условия. Мнемоника е създала серия от принадлежности в помощ на отговорниците по персоналните данни. Това включва календар-асистент, който оказва помощ с напомняния по кое време и какво би трябвало да се извърши във връзка си условията на GDPR, система за уведомления, както и инструмент за самоподготовка за DPO.
Подводни ями
Предвид общоевропейския темперамент на новата регулация, затрудненията в нейното използване са релативно малко.
Най-големият риск при въвеждането на GDPR е подценяването на сериозността на процеса от страна на управлението. Подобно на всяка сериозна система за ръководство на бизнеса, незаинтересоваността от страна на мениджмънта е заричане за „ претупване ” на отговорностите. Това обаче може да донесе чудовищни последствия. Пробивът в персоналните данни е в положение да съсипе живота на хиляди хора, а за самата организация глобите са в размер на 20 милиона евро или до 4% от годишния оборот за миналата финансова година.
Несериозното отношение на членовете на екипа към отговорностите им по GDPR също е подводна яма. Повърхностното осъществяване на отговорностите излага организацията на риск да ощети своите консуматори и сътрудници – с всички произлизащи от това негативи.
Фокусирането върху средствата за автоматизация, вместо върху същността на смяната, е друга евентуална заплаха. Дигиталните технологии са единствено инструмент, средство за постигането на цели и задания, които би трябвало да са ясно дефинирани отвън подтекста на компютърните технологии.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
Доколкото в множеството организации персоналните данни „ живеят ” в цифрови системи, работата им по GDPR в известна степен е облекчена
От 26 май тази година обработката и съхраняването на персонални данни във всяка организация подлежат на нова регулация – Общия правилник за отбрана на персоналните данни, или в резюме GDPR, която изисква доста по-стриктно запазване на деликатната персонална информация. За пробив в отбраната ѝ глобите са големи за мащаба и опциите на множеството български компании.
За да се приготвят за смяната, организациите могат занапред да подхващат редица стъпки, тъй че на 26 май да бъдат в сходство с новия общоевропейски норматив. Най-важното в тази подготовка е присъединяване на висшето управление на организацията.
Подобно на внедряването на ERP и CRM системи в бизнеса, нововъведението няма по какъв начин да е успешно, в случай че в смяната не е ангажирано управлението. Заедно с дейното присъединяване на топ-мениджмънта е значимо да се образуват екип и проект за деяние.
План за деяние
Шест са основните стъпки, които е належащо да извърви всяка организация в прехода към GDPR.
1. Ангажиране на висшето управление. От това зависи триумфът на плана за привеждане на организацията в сходство с условията на новия европейски правилник.
2. Сформиране на екип. В него би трябвало да вземат участие безусловно няколко основни позиции: правист на организацията, ИТ началник, управител по сходството с нормативната база („ compliance manager ”), експерт по сигурността, представител на финансов отдел, началник човешки запаси.
3. План: какво и по какъв начин ще се адресира. Този проект следва да включва:
– взимане на решение за разработване на така наречен „ GAP разбор ” – определяне на несъответствията сред настоящото положение на организацията по отношение на условията на регламента, дефинирани посредством локалния закон за персоналните данни, отразяващ GDPR;
– установяване дали „ GAP анализът ” ще се реализира вътрешно, единствено от екипа на организацията, или от външни консултанти. В идеалния случай се ползва композиция от двата метода. Външните консултанти имат значително преимущество: те насочват вниманието към значимите въпроси. Вътрешният екип пък се състои от експерти, който най-точно могат да отговорят на въпросите.
– реализация на „ GAP разбора ”. Тя зависи от размера на организацията и количеството на системите, които обработват персонални данни.
– правене на отчет с несъответствията – и рекомендации по какъв начин тези несъответствия да се преодолеят. За всяко отклоняване от условията може да има една или няколко рекомендации.
4. Внедряване на рекомендациите от GAP разбора. Това е дълъг развой, който е доста характерен за всяка организация – според от откритите несъответствия, от степента на автоматизация на процесите, от наличните запаси.
5. Обучение. Във всяка организация следва да се организира подготовка на екипа за работа в изискванията на новата регулация. Тренингът е желателно да има 2 елементи:
– Първата е „ общообразователна ” за всички чиновници на организацията, с цел да бъдат осведомени с главните положения в опазването на персоналните данни и да са наясно какво би трябвало и какво не би трябвало да вършат по повод персонални данни, съхранявани и обработвани във компанията. Служителите би трябвало да са осведомени с въпроси като що е персонални данни, по какъв начин следва да се отнасяме към тях, какво не трябва да вършим, кои са характерните действия за отбрана на данните.
– Второто образование е за профилиран екип на организацията. Той включва експерта, назначен за отговорник по персоналните данни (DPO), и всички, които работят в тясно съдействие с него. Заедно те би трябвало да преминат през подготовка за своите права и отговорности в боравенето с персонални данни, осъществяването на регулярни действия, вътрешно регулиране на равнището на подготовка, взаимоотношение с контролните органи – в това число права и обвързване при работа с регулаторите.
още по тематиката
Второто образование е с неотменима значимост за организациите, които назначават личен отговорник по персоналните данни (DPO). При работа по контракт с външен DPO е значимо да бъде открито равнището на подготовка на експерта. В случая организациите би трябвало да са наясно с неговите професионални качества и по-специално с експертните му знания в региона на законодателството и практиките за отбраната на данните.
Всяка организация сама преценя до каква степен несъмнено лице дава отговор на тези условия, прецизират от Комисията за отбрана на персоналните данни. Новият правилник не планува специфични условия за професионална подготовка. „ Предвид сложността на дилемите, които ДЗЛД би трябвало да извършва, се предлага лицето да има подобаващи знания както в региона на отбраната на персоналните данни, по този начин и в сферата, в която ще работи ”, прецизират от българския регулатор.
6. Оценка на въздействието на евентуален пробив. След подготовката на чиновниците на организацията е значимо да се изчислят евентуалните провали за организацията при възможна загуба на персонални данни или пробив в отбраната им. „ Добра стъпка в тази оценка е да се реши дали организацията не събира прекомерно огромно количество персонални данни, които не са фактически нужни ”, поучава Вихрен Славчев, шеф на Мнемоника.
Оценката на въздействието е обособен развой, който се организира още веднъж с присъединяване на огромна група експерти от компанията – финансист, правист, HR експерт, специалист по сигурността. Това може да е същата група, която осъществя цялостния проект за деяние, само че при оценката се употребяват характерни въпросници и методика ”, изяснява Славчев.
„ Наличието на логове е от повратно значение за опазването на персоналните данни ”, споделя Вихрен Славчев, шеф на Мнемоника
Оценката е директно обвързвана и с размера на глобите, които ще търпи организацията при пробив. Ако организацията съставлява част от група – да вземем за пример, от холдингова организация или консорциум, то значимо е да се оцени и какво ще е въздействието върху групата от евентуален пробив.
Такава оценка на въздействието следва да се прави регулярно: на всеки две години.
Автоматизация
Доколкото в множеството организации персоналните данни „ живеят ” в цифрови системи, то работата на мнозина е до известна степен облекчена. За доста от тези системи има налични средства за електронна отбрана. Организациите могат с едно или няколко софтуерни решения да защитят събираната и съхранявана персонална информация и да сведат до най-малко вероятността за допускане на човешка неточност.
„ Важно е да има указател на всички действия и да се пазят така наречен логове ”, поучава още Славчев. Като съветник точно в региона на сигурността и отбраната на данните екипът на Мнемоника горещо предлага съхраняването на логове. „ Наличието им е от повратно значение за опазването на персоналните данни ”.
Наред с това цифровите технологии разрешават и някои улеснения при прехода към GDPR и спазването на неговите условия. Мнемоника е създала серия от принадлежности в помощ на отговорниците по персоналните данни. Това включва календар-асистент, който оказва помощ с напомняния по кое време и какво би трябвало да се извърши във връзка си условията на GDPR, система за уведомления, както и инструмент за самоподготовка за DPO.
Подводни ями
Предвид общоевропейския темперамент на новата регулация, затрудненията в нейното използване са релативно малко.
Най-големият риск при въвеждането на GDPR е подценяването на сериозността на процеса от страна на управлението. Подобно на всяка сериозна система за ръководство на бизнеса, незаинтересоваността от страна на мениджмънта е заричане за „ претупване ” на отговорностите. Това обаче може да донесе чудовищни последствия. Пробивът в персоналните данни е в положение да съсипе живота на хиляди хора, а за самата организация глобите са в размер на 20 милиона евро или до 4% от годишния оборот за миналата финансова година.
Несериозното отношение на членовете на екипа към отговорностите им по GDPR също е подводна яма. Повърхностното осъществяване на отговорностите излага организацията на риск да ощети своите консуматори и сътрудници – с всички произлизащи от това негативи.
Фокусирането върху средствата за автоматизация, вместо върху същността на смяната, е друга евентуална заплаха. Дигиталните технологии са единствено инструмент, средство за постигането на цели и задания, които би трябвало да са ясно дефинирани отвън подтекста на компютърните технологии.
Статията е готова взаимно с екип на Мнемоника – консултантска компания, работеща в региона на кибер сигурността и отбраната на данните, с над 600 сполучливо осъществени плана за над 100 организации.
Източник: technews.bg
КОМЕНТАРИ