Вече е официално! 25 май мина и замина. И докато последните две години отминаха в истерия и неясноти около Общия регламент за защита на данните в ЕС (познат като GDPR), сега всички са притихнали в очакване да видят какво ще последва, когато Регламентът вече е в сила и се прилага.
Не, светът не спря да съществува след влизането му в сила. Земята не спря да се върти и не, бизнесите не се срутиха и не спряха дейностите си. Въпреки това няколко часа след влизането бяха подадени жалби срещу „обичайните заподозрени“ – Facebook и Google. А сега всички си задават въпроса какво следва оттук насетне?
GDPR е вече тук. Какво следва?
Какво означава това за вашия бизнес? Първо и най-важно – приемайте регламента изцяло сериозно! Дотук вашата фирма е трябвало да се подготвя по плана, който сте си направили как да се справи с искането на физическите лица (субекти на данни, споед законодателството) за изпълнение на техните права. Би трябвало отдавна да сте направили оценка на въздействието върху защитата на личните данни и евентуално да имате свой служител, който да се грижи за защитата на данните, готов да отговори на всички клиентски искания и подготвен за следващите стъпки за съвместимост с изискванията на регламента.
Най-важното нещо, което трябва да запомнят всички е, че 25 май не е някакъв край, а по-скоро начало. Но когато стане въпрос за изпълнение на заявките от страна на субектите на данни, трябва да имате изготвен план за действие. При това той трябва не само да е добре документиран (да се чете „разписан“), но и изпробван като работещ и ефективен. Това означава да знаете с абсолютна точност къде се съхраняват данните на субекта, точния процес, необходим за тяхното събиране и подготвяне за предоставянето им. Не е проблем първоначално някоя част или целия процес да се извършва ръчно.
Най-голямото предизвикателство за повечето бизнеси в съвместимостта и изпълнението на точките по регламента няма да са основните общи клаузи и изисквания, както ще е при властелините на данни – големите фирми като Facebook и Google. Вместо това сериозно предизвикателство ще бъде механиката при изпълнение на по-сериозен брой заявки от страна на потребителите в желанието им да упражнят правата си за информираност, достъп, коригиране и заличаване, ограничаване и пр. Един от най-често срещаните въпроси през изминалата година в тази насока е „за какъв обем от заявления трябва да се подготвя“? Не забравяйте, че разполагате само с един месец да отговорите на всяко едно искане и проблемът тук са процесите, които се извършват ръчно. Затова обемът, който трябва да планирате, не трябва да е началният обем, който ще получите или някаква средна стойност, а максималният. И бързо трябва да обмислите колко е това, колко максимум заявления можете да обработите, за да сте наясно в случай на евентуална проверка.
Двата основни елемента на дългосрочна GDPR стратегия
Има доста аспекти, които бизнесът щетрябва да обмисли при изготвянето на своята дългосрочна стратегия за GDPR, но все пак има две основни неща, които задължително трябва да се вземат под внимание:
Автоматизиране на процесите
Как смятате да се справяте с големия брой заявления, свързани с GDPR заявленията? Бързото преминаване към технологии за динамично управление на процесите трябва да е заложено като основа за съвместимостта с изискванията на регламента, като по този начин бизнесът ще може да гарантира, че процесът е добре организиран и се изпълнява от край до край. Това ще позволи бързо автоматизиране и премахване на процесите, които се извършват ръчно.
Единен канал на комуникация
Не е достатъчно да получавате заявления за упражняване на права само чрез обаждане или в сайта. Мнозина точно това очакват и се надяват на това и така изграждат политиките си. Субектите на данни трябва да могат да направи заявлението си както устно, така и писмено. Също така може да го направят към всеки отдел от фирмата, към всеки един служител, с който са в контакт (включително и в социалните мрежи!). Не е нужно заявлението да бъде адресирано към конкретен човек или да постъпва само по един канал за комуникация. Това означава, че трябва бързо да обучите всички служители, които влизат в контакт със субектите на данни как да обслужват такива заявления. Не пропускайте никое звено!
GDPR е тук и вече няма връщане назад. През следващите месеци вероятно ще се наложи да предприемете не едно и две действия, за да запълните пропуските по изискванията, които все още не сте покрили, но моят съвет е да бъдете проактивни. Докато обмисляте следващата фаза от адаптацията към новите изисквания, не забравяйте да разсъждавате над въпроса как да изграждате доверие у клиентите и да им предлагате по-добро преживяване. Това е най-важното в епохата на GDPR.