GDPR е една от най-дискутираните теми в бизнес пространството през последните няколко месеца, както и в нашия блог. И има основателни причини това да е така. Сигурни сме, че вече сте чували за солените глоби, за някои от основните права на субектите на данни, за контролиращите органи и т.н. Затова в този пост сме се постарали да погледнем на новия Регламент от малко по-практична гледна точка и да разгледаме някои конкретни стъпки, които да предприемете. Предлагаме ви своеобразен to-do лист с цел да се подготвите по-добре за задаващите се предизвикателства.

В случай, че не знаете какво е GDPR – ето няколко статии, които да послужат за отправна точка:

Накратко:

  • GDPR е общ Регламент, действащ в целия Европейски съюз.
  • GDPR влиза в сила във всички държави-членки на ЕС по едно и също време – 25 май 2018 г.
  • GDPR важи за компаниите, които:
    • имат филиал в ЕС;
    • продават стоки и услуги на жители на ЕС;
    • наблюдават и анализират поведението на жители на ЕС за маркетинг цели.
  • Понятието „лични данни“ включва:
    • имена;
    • телефонни номера;
    • имейл адреси;
    • постове в социалните мрежи;
    • IP адреси;
    • банкова информация;
    • медицинска информация;
    • други данни, които позволяват даден човек да бъде идентифициран.
  • Органът, който следи и контролира спазването на регулациите, е Комисията за защита на личните данни (в България) и съответстващите ѝ институции в другите държави-членки.
  • Неспазването на регулациите може да доведе до 20 милиона евро глоба или 4% от общия глобален годишен оборот от предходната финансова година – в зависимост кое е по-високо (чл. 83, ал. 4-6).

Първи стъпки:

  • Информирайте се относно дейността на Комисията за защита на личните данни.
  • Одитирайте процесите си – с какви персонални данни оперирате, къде се съхраняват, как се обработват, с какви механизми за контакт със субектите на данни разполагате.
  • Опишете всички процеси, свързани с достъпа до и употребата на лични данни във вашата организация.
  • Разпишете процедура, с която да докажете, че обработваните от вас лични данни са сигурно защитени.
  • Поискайте от вашите потребители изрично съгласие да използвате личните им данни.
  • Разпишете процедура, с която да докажете, че разполагате с това съгласие.
  • Информирайте потребителите си за причината, поради която съхранявате и обработвате личните им данни.
  • Проверете дали данните, които събирате, обработвате и съхранявате, са релевантни в бизнес отношенията ви с потребителите.
  • Поискайте изричното съгласие на потребителите си, преди да предоставите личните им данни на трети страни.
  • Подгответе процедура за предоставяне копие на всичките лични данни, които съхранявате за даден човек, в случай че ги поиска.
  • Подгответе процедура, чрез която да отговаряте на „правото да бъдеш забравен“, процедура, която да изтрие всички данни за даден човек в случай на поискване.
  • Подгответе процедура, чрез която да докладвате в срок от 72 ч. за пробив в сигурността и изтичане на данни.
  • Назначете длъжностно лице по защита на данните в случай, че това е необходимо.
  • Обновете всички системи, които обработват и управляват лични данни в компанията.
  • Прегледайте маркетинг активностите си – не се свързвайте с хора, които не са показали реален интерес към вашите маркетинг дейности; направете маркетинга си по-прозрачен, така че вашите потребители да разберат стойността, която им предоставяте; от сега нататък трябва да разполагате с изричното съгласие на хората да ги включвате в маркетинг кампаниите си (а не изричното им желание да спрете да го правите).

Заключение:

Привеждането на процесите в компанията ви в съответствие с GDPR не е нито препоръка, нито съвет. То е задължително условие за всеки бизнес, който работи с данни на физически лица, жители на Европейски съюз.

Докато GDPR съдържа достатъчно информация относно нивата на защита на личните данни, то липсва такава относно процесите или технологиите, които компаниите трябва да използват, за да гарантират тази защита. Един подход, който си заслужава да бъде разгледан, е да се използва система за управление на документи и информация (ECM), благодарение на която да бъдат посрещнати изискванията за сигурност и управление на данните. DocuWare е специализирана система за електронно управление на информация и процеси, която може да ви помогне. Тя позволява имплементацията на по-автоматизиран подход към защитата на личните данни, който да донесе ред, приемственост и ефективност към задачата, правейки посрещането на изискванията по GDPR по-бързо и по-лесно. Допълнително, DocuWare е сертифициран по международния стандарт ISO/IEC 27001, който вече покрива много от изискванията по GDPR.