GDPR съответствие
Изграждане на съответствие с Регламент 679/2016
Общият регламент относно защитата на данните (GDPR) въвежда правила и специфични изисквания , предназначени да дадат на гражданите на ЕС възможността да упражняват по-голям контрол върху своите лични данни и права.
Какво са лични данни
Всички лични данни или всяко едно парченце информация, което може да идентифицира индивида, т нар Personally Identifable Information – PII. Това включва информация по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на индивида, като например идентификационни номера (напр егн, телефонен номер, номера на сметки), данни за местонахождение (напр адрес или геолокация), онлайн идентификатори (напр IP адрес, адрес на електронна
поща) и много други
Стъпки за постигане на съответствие
Анализ на настоящето състояние
След анализиране на предварително събраната информация и идентифициране на ключовите бизнес процеси и служители в организацията, които са свързани с обработка на лични данни, пристъпваме към провеждане на работни срещи. Тъй като пропускането на някоя от дейностите по обработка на лични данни на този етап би довело до голям риск за организацията, ние провеждаме серия от срещи с идентифицираните служители, както и със служители от подпомагащи функции в организацията – например, но не само, ИТ и правен отдел – с цел цялостно обхващане на работните процеси
На база събраната информация за бизнес процесите на организацията, свързани с дейностите по обработка на лични данни, пристъпваме към идентифициране и анализ на несъответствия с изискванията на Регламент 2016/679 и други приложими закони, в зависимост от конкретната бизнес дейност на организацията.
Всяко несъответствие ще бъде оценено в зависимост от това колко субекта на лични данни засяга, какви са обработваните лични данни и какъв риск носи тяхното компрометиране или нанесена им щета произтичаща от неспазване на конкретното изискване, заложено в Регламента. По този начин ще осигурим лесно приоритизиране на идентифицираните несъответствия.
Към всяко несъответствие или група несъответствия, където е приложимо, ще предложим една или няколко мерки за адресирането му. Тези мерки ще бъдат предложени в зависимост от конкретния бизнес процес, съществуващите практики и инфраструктурата на организацията и ще бъдат максимално конкретни, за да позволяват лесно действие по „затваряне на несъответствието“
Като резултат ще бъде изготвен доклад, съдържащ констатации за установените несъответствията с конкретните изисквания заложени в GDPR, препоръки за тяхното адресиране и примерен план за въвеждането им
Внедряване на промени
Въз основа на представените препоръки, и след обсъждането им с клиента, се изготвя т. нар. “Анализ за минимизиране на разходите” (cost-benefit analysis), както и план за имплементирането им отново съгласуван с клиента. Само след изпълнението на тези стъпки може да стартира фаза „Внедряване на процеси и политики“, по време на която се пристъпва към въвеждането на организационни промени чрез оптимизиране на бизнес процесите по ефективен начин. Той има за цел да постигне намаляване на административна тежест върху служителите и разходите за организацията и същевременно да постигане съответствие с изискванията на Регламента.
Тази фаза може да включва (в зависимост от конкретните идентифицирани несъответствия):
- Обучение на персонала във връзка със задълженията, породени от GDPR, и конкретните действия по обработка на лични данни в организацията;
- Изготвяне на Регистър на дейностите по обработване на лични данни по смисъла на чл. 30 от Регламента;
- Изготвяне на Оценка на въздействието (от англ. Data Protection Impact Assessment или DPIA), където това е необходимо;
- Изготвяне на клаузи за договори, които включват трансфер на лични данни;
- Изготвяне на нови форми за събиране на лични данни или нотификации, където това е приложимо съгласно чл. 13 от Регламента;
- Корекция и/или изготвяне на нови бизнес процеси във връзка със задълженията породени от GDPR, като например упражняване на „право да бъдеш забравен“ или „искане на информация“;
- Корекция и/или изготвяне на нова политика за сигурност, включително и спомагателни процедури и контроли;
- Корекция и/или изготвяне на процедури за уведомяване на надзорния орган при нарушение на сигурността на личните данни по смисъла на чл. 33 от GDPR;
- Оптимизиране на политики/процедури и изменение на бизнес процеси, където е наложително;
Внедряване на технологични мерки
Тази фаза цели въвеждането на автоматизирани мерки, които адресират идентифицираните несъответствия чрез технологични средства. Чрез използването на нови системи или въвеждането на промени в съществуващите, можем да постигнем удовлетворяване на изискванията на Регламента, без това да води до значителни промени в бизнес процесите и съответно тяхното усложняване и/или забавяне. Въвеждането на технологичните мерки се осъществява чрез следните стъпки:
- Идентифициране на конкретни технологични решения и/или модификации на съществуващи технологични системи;
- Оценяване на необходимите ресурси за въвеждането на решенията – финансови, времеви и организационни;
- Изготвяне на пътна карта, която обхваща всички идентифицирани технологични решения;
- Изготвяне на проектни планове за всяка технологична имплементация, обвързани с общата пътна карта и мерките въвеждани във Фаза 2;
- Стартиране на проектите и управлението им до успешен край на въвеждането;
- Подпомагане на организацията при преговори с трети страни, ако това е необходимо;
При успешното изпълнение на цялостната пътна карта, организацията ще има въведени технологични мерки, които осигуряват автоматизираното следване на принципите на Регламента, както и ще са внедрени необходимите промени в съществуващите системи и процеси, които да подпомагат организацията.
