Има ли лесен път към прилагането на GDPR
Статията е част от специфичното издание на Капитал " GDPR - какво би трябвало да знаят компаниите за новия правилник за персоналните данни ". Можете да прочетете повече информация за изданието тук или да го поръчате тук.
Най-често ръководителите на компании се успокояват с това, че има време, или че разполагат с ИТ чиновник (в някои случаи цялостен ИТ отдел), който би трябвало да поеме функционалностите по въвеждане на GDPR.
Но не е напълно по този начин.
Привидното успокоение понижава с приближаването на последния гратисен период за използване на новите правила (25 май 2018 г.) и тогава се сещаме какъв брой значимо е да реагираме в точния момент. Съществува и всеобщата илюзия, че колкото по-малко личен състав има една компания, толкоз по-лесно ще се реализира сходство с GDPR.
Но и това не е напълно правилно .
Пример 1:
Да вземем компания със 100 души личен състав. Това са най-вече програмисти, работещи в профилирана среда, които основават софтуерни решения и най-често употребяват сървър за тестванията, който физически се намира на колокация в някой дата център. Приемаме, че управителният личен състав има няколко компютъра, посредством които реализират преписка с техните контрагенти. Да приемем, че такава компания има и интернет страница, с която се популяризира в световното пространство. В този случай рискът от противоречие с регламента е редуциран до разбор на няколко машини, които употребяват данни от преписка. Най-често те не се смятат за персонални данни, а нужна информация за реализиране на покупко-продажби.
При подобен проблем консултиращата компания по GDPR изготвя отчет на база разбора на входираните данни. Предложеното решение постоянно се свежда до минимална вътрешна метаморфоза, пазаруване на криптиращ програмен продукт (ако няма разполагаем такъв) и в детайли изложение на процедурите и периодите за предпазване на наличната на книжен притежател информация. Най-често този вид компании имат проведен списък, към този момент разполагат със сториджи и криптирани сървъри.
Пример 2:
Нека в този момент разгледаме да вземем за пример аптека с два компютъра на касите, които обслужват клиентите. В множеството случаи аптеките работят с НЗОК и се постанова тези машини да имат достъп до профилирани бази данни. Те разполагат с доста персонална информация на своите клиенти (например дали даден консуматор е хипертоник, диабетик, с краткотрайна или непрекъсната неработоспособност, частична парализа и т.н.). Отделно компютрите са свързани с касови апарати и счетоводен програмен продукт. Имат модули за складови наличия, информация по отношение на снабдители и други
Много е значимо при такива обстановки консултантът да подбере верен списък и криптатор, който да работи с всички употребявани от клиента други софтуери. ИТ задача на консултанта е да предложи реорганизиране или даже замяна на част от употребяваните детайли на мрежата, с цел да доближи стремежи резултат с допустимо най дребна инвестиция. При този образец също е налична интернет страница на аптеката. В множеството случаи е разполагаем и електронен магазин, който изисква контактна форма, съдържаща имена и адрес на получателя, телефон и други
Всички тези електронни форми би трябвало да бъдат приведени в сходство с регламента. Най-често такива обекти не разполагат с архивни носители, firewall и други защитни стени, бекъп компютри и други Инсталирането на нужните софтуери на такава машина би довело до неспособност за обслужване на клиентите от страна на ресурса. За въпросната аптека това би означавало потребност от пазаруване на нови, по-мощни компютри и настрана на сървър, с цел да покрие всички критерии на разнообразието от софтуери в тях. Най-често в обектите има и видеонаблюдение, което също е обект на регулацията и би трябвало да бъде регламентирано и ясно за клиента. Тук идва парадоксът " клиентът е известен, че в обекта има 24 ч. видеонаблюдение, само че не получава отговор по кое време ще се заличат записите от неговото снимане, тъй като това касае сигурността на обекта и неговата отбрана ".
Извод:
Броят на чиновниците и броя на компютърните станции не дефинират тежестта и сложността на процеса за прекосяване в сходство с GDPR.
Пример 3:
Да вземем за образец комерсиална компания с личен състав от 150 души. Тя включва търговски отдел, складов отдел, отдел за корпоративни клиенти, административен отдел, сервизен отдел, отдел, занимаващ се с снабдители, ИТ отдел, защита, web админи, счетоводен отдел и така нататък
Определянето и консултациите за прекосяване в сходство изисква огромен размер от разнообразни по тип проведени вътрешни структури. Във всеки от наличните отдели може да има характерни условия или написани процедури, които постановат тяхното проучване. Същото важи и за съхранението на хартиени и други носители и достъпа до тях.
Необходимото време на консултанта за проучване е наставление на рекомендации е доста. Прилагането на регламента е обвързвано в множеството случаи със съществени реорганизации във вътрешния ред. Купуване на в допълнение съоръжение, работа и образование на личния състав от страна на управлението и консултиращия сътрудник изисква в допълнение време, което най-често е подценявано. Често компанията е принудена от естеството на работата си да пренебрегне приравняването към общоевропейските нормативи. В такива случаи може да се вземе неправилното решение, че компанията не може да си разреши да отдели толкоз доста време, а възможната инспекция не би стигнала тъкмо до този бизнес или институция. Регламентът е влезнал в действие още 2016 година, само че доста бизнеси едвам в този момент се сещат, че гратисният интервал за въвеждането му е до 25 май 2018 година За сходна компания пътеката по използване на GDPR свършва тук.
Пример 4:
Нека разгледаме същата компания, само че с личен състав от 30-35 души. Налични са идентични или сходни отдели, само че с по-малко личен състав във всеки от тях. Консултиращата компания има същите задължения и нужда от време за подобен клиент.
Извод:
Различните по мярка корпорации не дефинират естеството на ангажимент, нито цената, оферирана от консултанта. При всички случаи тя е строго самостоятелна.
Изводите за потребностите, подбудени от GDPR, са разнообразни при всеки обособен случай, само че задачата на консултиращата компания е клиентът да доближи до подобаващия за него модел. Насоките към дребни частни компании или към огромни общински или държавни структури, несъмнено, са разнообразни. Много от ръководителите и притежателите на сдружения обаче нямат време да се срещнат с условията на регламента и неправилно вземат решение, че разполагат с задоволително време. Нека разгледаме главните механически условия в GDPR, с цел да разберем дали това е по този начин.
Технически условия
Важна част от новите правила е техническата обезпеченост на субекта, който ръководи персонални данни. Чл. 32 от GDPR изисква от всеки админ на персонални данни да вкара механически и организационни ограничения, които са подобаващи за равнището на риск при обработката и използването на тези данни. Регулацията не изисква пазаруването на съответни модели сървъри, компютри или програмен продукт. Трябва обаче да бъдат подхванати ограничения за ограничение на риска от попадане на персонална информация в несъответствуващи ръце.
В IT сигурността има един главен принцип: Даден чиновник би трябвало да има достъп до минимално количество информация, с цел да прави своята работа.
Същото предписание се ползва и при GDPR. Данните, които компанията събира, би трябвало да бъдат обработвани от минималния необходим брой чиновници. И най-малък брой чиновници би трябвало да имат достъп до тях. Дали информацията ще бъде на местен сървър или в облака, дали данните ще бъдат криптирани (а е желателно да са) или предпазени по различен метод, админът би трябвало да е приложил допустимо най-висока степен на отбрана, с цел да не може данните да попаднат в ръцете на лица, които не са оторизирани да ги употребяват.
Ако компанията е дребна, да вземем за пример единствено от един човек, сходна информация може да се съхранява даже и на портативен компютър. Тогава админът би трябвало да приложи оптималната степен на отбрана на този преносим компютър. Минимумът включва криптираща стратегия на диска и антивирусен програмен продукт. Особено значима е и културата на потребление на преносимия компютър. Не е възможно да вземем за пример да се посещават уеб страници или да се конфигурират стратегии, които може да са свързани със злотворен програмен продукт, и по този начин да се случи пробив в персоналните данните.
При по-големи компании са в действие други правила и политики за IT сигурност, които могат да подсигуряват най-малък риск (сървъри, равнища на достъп, ръководство на пароли и т.н.) В тези случаи културата на потребление на компютър също е доста значима, само че при вярна политика по IT сигурността достъпът до рискови уеб сайтове може да бъде стеснен.
Много клиенти питат какъв брой би коствала реорганизацията на процесите на работа в дадена компания за реализиране на сходство с GDPR. Отговорът е, че всичко е релативно. Възможно е даже да се стигне до парадокса дребна компания да похарчи доста повече пари, с цел да извърши условията, изключително в случай че занапред би трябвало да купува и внедрява нов хардуер и програмен продукт. В една банка да вземем за пример се изисква осъществяването на редица ограничения и стандарти по сигурността на информацията. В някои случаи там новите процеси могат да се внедрят по-лесно и безболезнено заради естеството от внедрената сигурност. Според до момента настоящото българско законодателство Комисията за отбрана на персоналните данни води Регистър на админите на персонални данни и поддържаните от тях регистри.
Извод:
Отговорността за персоналните данни е на всички админи на персонални данни. Размерът на компанията е без значение.
Ще бъде ли вашият бизнес обиден от GDPR
Новият правилник се ползва за всяка организация, която държи или обработва персоналната информация на европейски жител, без значение къде се намира самата организация или къде се прави обработката на данни. Това включва да вземем за пример бизнесът в Съединени американски щати или Англия (независимо от Brexit). Общият правилник изисква компаниите да пазят тази информация - без значение от това къде се изпраща, обработва или съхранява - и да има доказателства за отбраната на данните, които могат да бъдат тествани.
" Лични данни " е необятен термин, който включва: име, фотография, имейл адрес, банкови данни, изявления в обществени мрежи, здравна информация, даже и компютърен IP адрес.
Прилагането на GDPR ще бъде както предизвикателство, по този начин и опция за бизнеса. Много предприятия ще изискват от контрагентите и сътрудниците си да съблюдават напълно регулация като изискване за бизнес връзки. С верен метод и навременно обмисляне организациите могат да трансфорат спазването на GDPR за конкурентно преимущество и за разкриване на нови бизнес опция. Несъответствието с GDPR може да докара до забележителна загуба за бизнеса по отношение на по-подготвените съперници.
Извод:
Преминаването в сходство с GDPR може да се трансформира в бизнес преимущество и е значимо за елиминиране на възможни бъдещи неприятни последици.
Статията е част от специфичното издание на Капитал " GDPR - какво би трябвало да знаят компаниите за новия правилник за персоналните данни ". Можете да прочетете повече информация за изданието тук или да го поръчате тук.
Най-често ръководителите на компании се успокояват с това, че има време, или че разполагат с ИТ чиновник (в някои случаи цялостен ИТ отдел), който би трябвало да поеме функционалностите по въвеждане на GDPR.
Но не е напълно по този начин.
Привидното успокоение понижава с приближаването на последния гратисен период за използване на новите правила (25 май 2018 г.) и тогава се сещаме какъв брой значимо е да реагираме в точния момент. Съществува и всеобщата илюзия, че колкото по-малко личен състав има една компания, толкоз по-лесно ще се реализира сходство с GDPR.
Но и това не е напълно правилно .
Пример 1:
Да вземем компания със 100 души личен състав. Това са най-вече програмисти, работещи в профилирана среда, които основават софтуерни решения и най-често употребяват сървър за тестванията, който физически се намира на колокация в някой дата център. Приемаме, че управителният личен състав има няколко компютъра, посредством които реализират преписка с техните контрагенти. Да приемем, че такава компания има и интернет страница, с която се популяризира в световното пространство. В този случай рискът от противоречие с регламента е редуциран до разбор на няколко машини, които употребяват данни от преписка. Най-често те не се смятат за персонални данни, а нужна информация за реализиране на покупко-продажби.
При подобен проблем консултиращата компания по GDPR изготвя отчет на база разбора на входираните данни. Предложеното решение постоянно се свежда до минимална вътрешна метаморфоза, пазаруване на криптиращ програмен продукт (ако няма разполагаем такъв) и в детайли изложение на процедурите и периодите за предпазване на наличната на книжен притежател информация. Най-често този вид компании имат проведен списък, към този момент разполагат със сториджи и криптирани сървъри.
Пример 2:
Нека в този момент разгледаме да вземем за пример аптека с два компютъра на касите, които обслужват клиентите. В множеството случаи аптеките работят с НЗОК и се постанова тези машини да имат достъп до профилирани бази данни. Те разполагат с доста персонална информация на своите клиенти (например дали даден консуматор е хипертоник, диабетик, с краткотрайна или непрекъсната неработоспособност, частична парализа и т.н.). Отделно компютрите са свързани с касови апарати и счетоводен програмен продукт. Имат модули за складови наличия, информация по отношение на снабдители и други
Много е значимо при такива обстановки консултантът да подбере верен списък и криптатор, който да работи с всички употребявани от клиента други софтуери. ИТ задача на консултанта е да предложи реорганизиране или даже замяна на част от употребяваните детайли на мрежата, с цел да доближи стремежи резултат с допустимо най дребна инвестиция. При този образец също е налична интернет страница на аптеката. В множеството случаи е разполагаем и електронен магазин, който изисква контактна форма, съдържаща имена и адрес на получателя, телефон и други
Всички тези електронни форми би трябвало да бъдат приведени в сходство с регламента. Най-често такива обекти не разполагат с архивни носители, firewall и други защитни стени, бекъп компютри и други Инсталирането на нужните софтуери на такава машина би довело до неспособност за обслужване на клиентите от страна на ресурса. За въпросната аптека това би означавало потребност от пазаруване на нови, по-мощни компютри и настрана на сървър, с цел да покрие всички критерии на разнообразието от софтуери в тях. Най-често в обектите има и видеонаблюдение, което също е обект на регулацията и би трябвало да бъде регламентирано и ясно за клиента. Тук идва парадоксът " клиентът е известен, че в обекта има 24 ч. видеонаблюдение, само че не получава отговор по кое време ще се заличат записите от неговото снимане, тъй като това касае сигурността на обекта и неговата отбрана ".
Извод:
Броят на чиновниците и броя на компютърните станции не дефинират тежестта и сложността на процеса за прекосяване в сходство с GDPR.
Пример 3:
Да вземем за образец комерсиална компания с личен състав от 150 души. Тя включва търговски отдел, складов отдел, отдел за корпоративни клиенти, административен отдел, сервизен отдел, отдел, занимаващ се с снабдители, ИТ отдел, защита, web админи, счетоводен отдел и така нататък
Определянето и консултациите за прекосяване в сходство изисква огромен размер от разнообразни по тип проведени вътрешни структури. Във всеки от наличните отдели може да има характерни условия или написани процедури, които постановат тяхното проучване. Същото важи и за съхранението на хартиени и други носители и достъпа до тях.
Необходимото време на консултанта за проучване е наставление на рекомендации е доста. Прилагането на регламента е обвързвано в множеството случаи със съществени реорганизации във вътрешния ред. Купуване на в допълнение съоръжение, работа и образование на личния състав от страна на управлението и консултиращия сътрудник изисква в допълнение време, което най-често е подценявано. Често компанията е принудена от естеството на работата си да пренебрегне приравняването към общоевропейските нормативи. В такива случаи може да се вземе неправилното решение, че компанията не може да си разреши да отдели толкоз доста време, а възможната инспекция не би стигнала тъкмо до този бизнес или институция. Регламентът е влезнал в действие още 2016 година, само че доста бизнеси едвам в този момент се сещат, че гратисният интервал за въвеждането му е до 25 май 2018 година За сходна компания пътеката по използване на GDPR свършва тук.
Пример 4:
Нека разгледаме същата компания, само че с личен състав от 30-35 души. Налични са идентични или сходни отдели, само че с по-малко личен състав във всеки от тях. Консултиращата компания има същите задължения и нужда от време за подобен клиент.
Извод:
Различните по мярка корпорации не дефинират естеството на ангажимент, нито цената, оферирана от консултанта. При всички случаи тя е строго самостоятелна.
Изводите за потребностите, подбудени от GDPR, са разнообразни при всеки обособен случай, само че задачата на консултиращата компания е клиентът да доближи до подобаващия за него модел. Насоките към дребни частни компании или към огромни общински или държавни структури, несъмнено, са разнообразни. Много от ръководителите и притежателите на сдружения обаче нямат време да се срещнат с условията на регламента и неправилно вземат решение, че разполагат с задоволително време. Нека разгледаме главните механически условия в GDPR, с цел да разберем дали това е по този начин.
Технически условия
Важна част от новите правила е техническата обезпеченост на субекта, който ръководи персонални данни. Чл. 32 от GDPR изисква от всеки админ на персонални данни да вкара механически и организационни ограничения, които са подобаващи за равнището на риск при обработката и използването на тези данни. Регулацията не изисква пазаруването на съответни модели сървъри, компютри или програмен продукт. Трябва обаче да бъдат подхванати ограничения за ограничение на риска от попадане на персонална информация в несъответствуващи ръце.
В IT сигурността има един главен принцип: Даден чиновник би трябвало да има достъп до минимално количество информация, с цел да прави своята работа.
Същото предписание се ползва и при GDPR. Данните, които компанията събира, би трябвало да бъдат обработвани от минималния необходим брой чиновници. И най-малък брой чиновници би трябвало да имат достъп до тях. Дали информацията ще бъде на местен сървър или в облака, дали данните ще бъдат криптирани (а е желателно да са) или предпазени по различен метод, админът би трябвало да е приложил допустимо най-висока степен на отбрана, с цел да не може данните да попаднат в ръцете на лица, които не са оторизирани да ги употребяват.
Ако компанията е дребна, да вземем за пример единствено от един човек, сходна информация може да се съхранява даже и на портативен компютър. Тогава админът би трябвало да приложи оптималната степен на отбрана на този преносим компютър. Минимумът включва криптираща стратегия на диска и антивирусен програмен продукт. Особено значима е и културата на потребление на преносимия компютър. Не е възможно да вземем за пример да се посещават уеб страници или да се конфигурират стратегии, които може да са свързани със злотворен програмен продукт, и по този начин да се случи пробив в персоналните данните.
При по-големи компании са в действие други правила и политики за IT сигурност, които могат да подсигуряват най-малък риск (сървъри, равнища на достъп, ръководство на пароли и т.н.) В тези случаи културата на потребление на компютър също е доста значима, само че при вярна политика по IT сигурността достъпът до рискови уеб сайтове може да бъде стеснен.
Много клиенти питат какъв брой би коствала реорганизацията на процесите на работа в дадена компания за реализиране на сходство с GDPR. Отговорът е, че всичко е релативно. Възможно е даже да се стигне до парадокса дребна компания да похарчи доста повече пари, с цел да извърши условията, изключително в случай че занапред би трябвало да купува и внедрява нов хардуер и програмен продукт. В една банка да вземем за пример се изисква осъществяването на редица ограничения и стандарти по сигурността на информацията. В някои случаи там новите процеси могат да се внедрят по-лесно и безболезнено заради естеството от внедрената сигурност. Според до момента настоящото българско законодателство Комисията за отбрана на персоналните данни води Регистър на админите на персонални данни и поддържаните от тях регистри.
Извод:
Отговорността за персоналните данни е на всички админи на персонални данни. Размерът на компанията е без значение.
Ще бъде ли вашият бизнес обиден от GDPR
Новият правилник се ползва за всяка организация, която държи или обработва персоналната информация на европейски жител, без значение къде се намира самата организация или къде се прави обработката на данни. Това включва да вземем за пример бизнесът в Съединени американски щати или Англия (независимо от Brexit). Общият правилник изисква компаниите да пазят тази информация - без значение от това къде се изпраща, обработва или съхранява - и да има доказателства за отбраната на данните, които могат да бъдат тествани.
" Лични данни " е необятен термин, който включва: име, фотография, имейл адрес, банкови данни, изявления в обществени мрежи, здравна информация, даже и компютърен IP адрес.
Прилагането на GDPR ще бъде както предизвикателство, по този начин и опция за бизнеса. Много предприятия ще изискват от контрагентите и сътрудниците си да съблюдават напълно регулация като изискване за бизнес връзки. С верен метод и навременно обмисляне организациите могат да трансфорат спазването на GDPR за конкурентно преимущество и за разкриване на нови бизнес опция. Несъответствието с GDPR може да докара до забележителна загуба за бизнеса по отношение на по-подготвените съперници.
Извод:
Преминаването в сходство с GDPR може да се трансформира в бизнес преимущество и е значимо за елиминиране на възможни бъдещи неприятни последици.
Статията е част от специфичното издание на Капитал " GDPR - какво би трябвало да знаят компаниите за новия правилник за персоналните данни ". Можете да прочетете повече информация за изданието тук или да го поръчате тук.
Източник: dnevnik.bg
КОМЕНТАРИ