GDPR: Правила и грешки при имплеменирането на новия регламент – интервю с Марко Гшайдер

В: Здравейте, г-н Гшайдер. Вие сте главен директор информационни технологии. Каквo бихте посъветвали компаниите относто имплементирането на GDPR?

 Марко Гшайдер: GDPR регламентът е много рестриктивен. Основната му цел е защитата на личните данни, в синхрон с инициативата за уеднаквяване на защитата на данните в ЕС. Тъй като, в тесен смисъл, засегнатите компании биват регулирани и поне на теория могат да бъдат наказвани, те трябва добре да обърнат внимание и да предприемат конкренти действия по този казус. На практика обаче често установяваме, че в много компании тепърва трябва да се създаде разбиране и подходящо отношение към ситуацията. Не става дума само за технически мерки – те биха могли лесно, бързо и удобно да бъдат възложени на външни изпълнители. Напротив, директивата многократно посочва необходимите организационни стъпки, включително вътрешни такива. Освен това, за успешното имплементиране на GDPR, първо е необходима подробна вътрешна информация за текущото, актуално състояние на процесите в дадена организация. Според това къде и как се обработват личните данни, зависи действителното приложение в компанията. Препоръчваме това да се прави от човек с познания, който има цялостен поглед върху нещата, независимо дали е вътрешен служител по защита на данните, външен доставчик на услуги или и двете. Между другото, ако следвате сравнително простите списъци за проверка, които са достъпни за изтегляне онлайн, трябва предварително да сте запознат добре с регламента и следствията, произтичащи от него. В крайна сметка, не бива да се подценява вътрешнaтa за компанията работа, която трябва да се извърши. Необходимо е предварително добро теоретично запознаване с изискванията,  след което, възможно най-структурирано, да се изпълнят конкретните стъпки за прилагането на GDPR.

В: Много компании си задават въпроса откъде да започнат процеса. Има ли конкретни начални стъпки?

Марко Гшайдер: Да, със сигурност има. Първо трябва да  се изгради организационна система за управление. Най-добре е да се назначи отделен  служител, отговорен конкретно за защита на данните и прилагането на механизмите. Като първа стъпка актуалната ситуация трябва да бъде анализирана и оценена. Това включва необходимото ниво на защита, оценка на риска, създаване на опис на дейностите свързани с обработката на данните, както и оценка на въздействието им в контекста на защитата на данните. Как трябва да изглеждат гореизброените е  предписано в директивата. На тази основа може да се определи конкретната целева ситуация. След това имплементирането трябва да бъде изпълнено както организационно, така и технологично, като обикновенно двата аспекта са взаимосвързани. Също така е важно да се съхраняват документи и доказателства, защото компаниите трябва да спазват изискванията за деклариране и отчетност. Те могат да се изискват от законодателя, институциите и засегнатите лица. Препоръчителен е и постоянен мониторинг на съответствието.

В: От какво основно произлизат високите разходи при прилагането на GDPR?

Марко Гшайдер: Това е породено от фака,че много области са засегнати в дълбочина. Всички отдели, занимаващи се с лични данни, са засегнати от регламента – IT, човешки ресурси, маркетинг, продажби, правен отдел, счетоводство, а понякога и други. Поради правилата за обработка на данни за поръчки и произтичащите от това разширени задължения за дружества, са обхванати и външни доставчици на услуги, като например дистрибутори, доставчици на услуги в сферата на човешките ресурси, доставчици на облачни и хостинг услуги. В следствие на това от гледна точна на технологичната инфраструктура се появяват множество отправни точки обект на GDPR. Те включват уеб сайтове, магазини, интранет, CRM & ERP системи , системи за бекъп и архивиране, сървъри, файъруол устройства, антивирусен софтуер, всички системи за съхранение и оторизация, софтуерни интерфейси,  фирмени данни във външни облачни системи за съхранение и много други. Всички тези неща могат да бъдат засегнати многократно. Трябва да се проучи предварително какво съществува вече по отношение на защита на данните и подписани съгласия, документи, договори, споразумения и друга документация. Списъкът е дълъг и далеч не изчерпателен. Това са една част от причините които водят до високата цена.

В: Има ли особено важни неща, на които трябва да се обърне внимание? Някакви добри практики или грешни подходи?

Марко Гшайдер: Една голяма част от GDPR са такива задължения на компанията, които просто трябва да се знаят точно. Те включват, но не се ограничават до създаването на опис на дейностите по обработка, оценка на въздействието върху защитата на данните, всеобхватна документация, отчетност, правото на заличаване и редактиране на личните данни, ограничаването на обработката на лични данни. Тези задължения са ясно регламентирани. Съществуват например строги формални и съдържателни изисквания. Трябва също така да се знае, че без изричното съгласие на засегнатите лица, обработката на данни е забранена по премълчаване – освен ако в даден казус това не е изрично разрешено от закона. Друг интересен аспект е, че количеството и видът на съхраняваните или обработените данни трябва да са подходящи за дадената цел. Също така има и специално регламентирани области. Към тях спадат например обработката на данни свързани с поръчки, което се налага често в практиката. Доставчиците на услуги в областта на човешките ресурси, хостинг доставчиците и доставчиците на облачни услуги, например, са администратори на лични данни. Като такива те са задължени да се регистрират в Регистъра на администраторите на лични данни и водените от тях регистри, поддържан от Комисията за защита на личните данни. Нормативно това е регламентирано в чл.17  от Закона за защита на личните данни. Индивидуално регулирани области са също така видеонаблюдението, както и допустимостта на предаване на данни в така наречените трети страни. Това са държави, които не принадлежат към ЕС или Европейското икономическо пространство (ЕИП). Примери за такива държави са Америка, Китай или Русия. Ако се обърне внимание на тези неща, мисля, че най-важните аспекти биха били разбрани.

В: Има ли конкретни продукти и технологии свързани с успешното прилагане на GDPR, които бихте препоръчали?

Марко Гшайдер: Препоръчителни само само тези продукти и технологии, които предлагат подходящо ниво на защита. То се основава на състоянието на техниката, разходите, оценката на риска и редица други фактори. ИТ процесите, софтуерът и хардуерът трябва да бъдат индивидуално проверени за съвместимост според изискванията на регламента. Въз основа на предписаните цели касаещи защитата на данните може да се каже, че в допълнение към обичайните технологии за сигурност, като криптиране, удостоверяване и др., ще са необходими и системи за бекъп, архивиране и възстановяване, защитни стени и антивирусен софтуер. Изискването за постоянна достъпност на данните, особено в по-големите компании, предполага наличието на интегрирана бизнес система за претърсване на дигитално съхраняваната информация (познати още като системи за пълнотекстово търсене). Това е така, защото за операции като извличане на информация, промяна и изтриване, трябва със сигурност да се знае местоположението на самите данни, както и на всяко тяхно копие. Също така, за споделяне и съхраняване на данни в компанията може да се използва софтуер като Nextcloud, който, благодарение на своите технологии и стандарти за сигурност, има високо съответствие с GDPR.

В: Има ли още нещо, което бихте желали да споделите с компаниите?

Марко Гшайдер: Да, определено. Обърнете внимание на темата бързо, адекватно и без тревога. GDPR регламентът е валиден от май 2018г. и все още не е известно в какви размери установени нарушения ще бъдат реално наказвани. Ето защо трябва да играете на сигурно и просто да изпълните нещата. Ако не успеете със собствени сили, винаги може да потърсите професионална помощ.

В: Благодарим ви за изчерпателната информация по темата GDPR.