Както най-вероятно вече ви е известно, Регламент (ЕС) 2016/679 или накратко GDPR (General Data Protection Regulation) е нов пакет от правила и стандарти, свързани с поверителността и управлението на данни. Той е продиктуван от навлизането на съвременните технологии във всяка сфера на личния и професионалния ни живот. С растящите темпове на събиране и обработване на информация виждаме все повече хора, институции и правителства да обръщат внимание на начина, по който се използва тази информация. И понеже тя може да е колкото полезна, толкова и опасна в случай на пробив или изтичане, темата никога не е била по-важна. Като реакция, Европейският съюз подготви единен пакет от правила, който да защити всеки европейски гражданин и който ще има ефект върху всички организации. Доста е изписано по темата, но проучванията показват, че много компании срещат затруднения да разберат и посрещнат изискванията. Затова ви предлагаме няколко практически стъпки, които да предприемете още сега.

Бъдете осведомени

Както всяка важна промяна, особено законодателна, трябва да се запознаете в детайли с новите регулации. Отделете си време, финанси и други ресурси, за да се запознаете и подготвите. Мениджърите и управителите ще играят основна роля в привеждането на бизнес процедурите и процесите в съответствие с GDPR. Както и други подобни регулации, GDPR изисква участие на управленско ниво, а от там информацията трябва да бъде предоставена на останалите служители.

Бъдете наясно какви точно лични данни обработва вашата организация и къде ги съхранявате

Най-важната крачка към оптимизирането на работните процеси и привеждането им в съответствие с GDPR е анализът на настоящето положение. Говорете със служителите, запознайте се с вида документи, с които най-често работят, входящите и изходящи процеси, начина на обработка и съхранение. С кого и как ги споделят? Целта е да се дефинират проблемни области и такива, които подлежат на подобрение. Можете да използвате услуга на външен консултант, който да анализира процесите по обработка и съхранение на документи. Не забравяйте хартиените документи и мейлите, те също са в обхвата на новия Регламент.

Проверете дали сте длъжни да определите длъжностно лице по защита на данните

Една важна промяна е въвеждането на изискване за определяне на длъжностно лице по защита на данните в някои определени случаи. Тези случаи са:

  • Когато обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Когато основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

Въведете подходящи мерки, за да посрещнете правата на субектите на данни

Регламентът разширява правата на физическите лица, което налага предварително въвеждане на политики и процедури, по които да се обработват исканията на тези лица. Компаниите трябва да могат да докажат, че обработват личните данни в съответствие с принципите заложени в Регламента. Съответно трябва да подготвите такива процеси, които да отговарят на всички права на субекта на данни:

  • Информираност;
  • Достъп до собствените лични данни;
  • Коригиране (ако данните са неточни);
  • Изтриване на личните данни (правото „да бъдеш забравен“);
  • Ограничаване на обработването от страна на администратора или обработващия лични данни;
  • Преносимост на личните данни между отделните администратори;
  • Възражение спрямо обработването на негови лични данни;

Не забравяйте да подготвите процедура, с която да можете да докажете съответствието си в случай на одит.

Бъдете подготвени за нарушения на сигурността

Приемете политики и процедури, които да осигурят бърза реакция и спазване на краткия срок за уведомяване. Срокът да информирате Комисията за защита на личните данни за пробив или изтичане на информация е едва 72 часа, след като сте разбрали за проблема. Трябва да сте готови за най-лошото и да имате изградени процедури, които да ви помогнат да посрещнете кратките срокове. Ако пробивът представлява риск за сигурността на субекта на лични данни – то трябва да изпратите информация и до него.

Прегледайте съществуващите политики за поверителност и съгласия на субекти на данни

Съгласието е нещо което трябва да можете да докажете. Да докажете, че някой е дал съгласието си да обработвате данните му. Мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Трябва да е ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни.

Въведете политики, процедури и системи за документиране и отчетност

ISO27001 е добра отправна точка за съответствие с GDPR – бъдете сигурни, че можете да демонстрирате своето съответствие при одит, очертайте бизнес процесите и знайте къде съхранявате данните, комуникирайте ясно със субектите на данни, променете структурата на отделите ако се налага, консултирайте се, намерете добри адвокати за добър съвет.

Що се касае до ИТ препоръките – намерете система, която да отговаря на ISO27001, отделете бюджет, подкрепа и ресурси, които ще са необходими да докажете, че няма да допуснете пробив, прегледайте всички данни, с които работите, изтрийте каквото не ви трябва и ограничете достъпа до останалото. DocuWare може да ви помогне в този смисъл.

Напомняме, че софтуерът не решава предизвикателствата, но без софтуер е почти невъзможно да покриете изискванията. Не забравяйте, че колкото по-рано адаптирате бизнеса си спрямо новите изисквания, толкова по-голяма преднина ще имате пред конкурентите и ще си гарантирате спокойствие.

Ето няколко причини защо DocuWare може да помогне:

  • Намален риск от несъответствие поради човешки фактор;
  • Документирани работни процеси;
  • Контрол на достъпа;
  • Одитни пътеки;
  • Контрол на изтриването и трансфера на данни;
  • Криптиране на всички документи;
  • Ревизия.

Допълнително, DocuWare е сертифициран по международния стандарт ISO/IEC 27001, който вече покрива много от изискванията по GDPR.

Ако искате да научите повече за системата за сигурно управление на бизнес информация и процеси или да се възползвате от услугите, които предоставяме за анализ – не се колебайте да заявите вашето желание – https://www.edocument.bg/docuware/demo/

 

Допълнителна информация: