От къде да подхванете съвместимостта с GDPR?

До прилагането на всички изисквания от Регламент (ЕС) 2016/679 или по-популярен като GDPR остава по-малко от месец. Дори вече има публично обсъждане за изменения и допълнения към Закона за защита на личните данни, та малко от малко нещата започнаха да придобиват по-сериозен вид. Доскоро беше само хаос, някакви свободни съчинения и опити за тълкуване на по-спорните точки от Регламента. И санкциите в размер на 20 мнл евро…

Все повече фирми започнаха да се опитват да прилагат едно или друго изискване, други още не знаят от къде да я подхванат…

Ако се чудите какво да правите, ето няколко основни точки, от които можете да започнете.

Разберете с какви данни разполагате и къде са те

Ще ви е нужен не сложен, а задълбочен процес по идентифициране с какви лични данни разполагате, как ги използвате и как ги съхранявате (както и за колко време). Например ако се изпраща имейл бюлетин/нюзлетър, това трябва да се има предвид и да бъде отбелязано. Ето няколко важни детайла:

  • В кои отдели се събират и обработват лични данни.
  • Къде се съхраняват данните – в офиса, при трета страна (обработваща данните), в сайта, в облак…
  • Ако обработката на данни се аутсорсва (външно счетоводство, външен маркетингов отдел и пр.), идентифицирайте обработващия и каква система използва за обработката.
  • От къде идватр данните, от къде се събират (лично в офиса, от сайта, мобилни приложения, други източници).
  • Как се използват различните типове данни и за какви цели се използват те.
  • Кой друг има достъп до данните.
  • Какъв тип съгласие е получено при предоставяне на данните и къде се съхранява документацията.

Тази информация (както и всички затруднения при откриването ѝ) ще ви даде ясна представа за това колко още работа ви остава, за да постигнете съответствие с GDPR. Като допълнение, изключително важно е да имате възможност да изтривате или анонимизирате лични данни при заявка за това.

Разработете или актуализирайте политика за поверителност

Политиката за поверителност трябва ясно да изразява вашето желание за придържане към „духа на закона“ за защита на личните данни. Не е добра идея да твърдите, че сте в съответствие с GDPR, в случай, че не сте. Отбележете отдадеността си за защита на клиентите и ги уверете, че активно работите, за да покриете изискванията на GDPR. И наистина го правете!

Създайте си план за действие

Открийте всяко изскване според GDPR, което все още не сте изпълнили и го възложете на екипа си – да изготви план за действие (и предприемане на реални действия) за постигане на съвместимост. Ето няколко конкретни области:

  • Отчетност и управление.
  • Получаване на съгласие и обработване на лични данни.
  • Лични данни на деца.
  • Известия (за клиенти/за служители).
  • Права и процедури.
  • Поддържане на регистри.
  • Защита на данните на ниво проектиране.
  • Известие при нарушаване целостта на данните.
  • Локализиране на данните.
  • Договорни отношения.

Познаване на потребителите и източниците на данни

Едно от основните ключови изисквания за съвместимост с GDPR е разбирането какви лични данни се събират и къде се съхраняват. Това в началото изглежда много сложно, но ако бъде разделено на отделни елементи, става по-лесно за разбиране и управление. Например:

  • Кои са отделите или екипите, които събират лични данни?
  • Какъв хардуер и софтуер се използва за събиране на лични данни? Той под пряк контрол на фирмата ли е или е разположен в облака?
  • какви са източниците, от които потребителите споделят личните си данни? (напр. уебсайтове, мобилни приложения и пр.)
  • Как се обработват личните данни и с каква цел?
  • Къде се съхраняват данните и ако се споделят извън фирмата, с кого и защо?
  • Поискано ли е съгласието на потребителите за събирането на техните лични данни? Ако да, кога?

Това е добра отправна точка. Тази информация ще ви даде представа за съвместимостта ви с изискванията на GDPR. Всяко затруднение при отговаряне на тези въпроси е добра индикация къде ще срещнете предизвикателство при спазване на изискванията на GDPR, напр. при искане за псевдонимизация или заличаване на данни.

Изключение ли са данните, събрани преди 25 май 2018?

Не. Няма такава клауза в Регламента. Вече съществуващите данни са обект на същите изисквания, както и данните, събрани след 25 май. Някои фирми вече започнаха да искат от потребителите си за съгласието им, в съответствие с новите стандарти. Други може би ще предпочетат да изтрият наличните данни и да започнат отначало по подходящ начин – всеки решава кое е по-добре за бизнеса му.

Кой трябва да е отговорен за съвместимостта с GDPR?

Регламентът не посочва изрично кой във фирмата трябва да се заеме със съвместимостта и изискванията на GDPR. Най-общо казано, идеалният човек е упълномощен и подкрепян от висшето ръководство да ръководи процеса по привеждане на съвместимост, както и следенето за прилагането на изискванията след това. Добре е да има интерес и познания в юридическите теми, да може да води преговори и да изгражда взаимоотношения.

Не мога ли да си купя някакъв инструмент или услуга, чрез която да се случат нещата по-лесно?

За съжаление няма един-единствен инструмент или услуга, които да помогнат и да гарантират 100% съвместимост с всички изисквания на Регламента. Да, има инструменти, които са в полза за различни аспекти, основно по отношение на техническите изисквания, но няма едно-единствено решение, което да ви гарантира 100% съвместимост. Отделно, че има немалко документация, която трябва да изготвите сами, според спецификата и изискванията на бизнеса ви.