Компаниите, които разполагат с данни на граждани на ЕС, ще трябва да се съобразят с навлизащите стриктни правила. Регламентът ще изгради нов стандарт за защита на потребителите и личната информация, която предоставят на бизнеса. Фирмите пък ще трябва да организират системите и процесите си така, че да отговарят на законовите изисквания.

A тe поставят въпроси и нови очаквания към ИТ отделите. Например GDPR разширява понятието за лични данни. Фирмите ще трябва да осигурят защита на IP адреси, информацията от “бисквитките” на същото ниво, на което пазят името, адреса и ЕГН-то на клиентите си.

Голяма част от изискванията подлежат на интерпретация, т.е. оставени са на разбирането на компаниите, без да се дават точни указания как да постъпят. GDPR постановява, че те трябва да осигурят “подходящо” (reasonable) ниво на защита на личните данни, но не определя понятието. А това дава голяма свобода на контролните органи да налагат глоби при изтичане на данни или ако бъде установено неизпълнение.

Голяма част от изискванията на пръв поглед нямат отношение към информационната сигурност. Обаче по-детайлно вглеждане в регламента, например това, че бизнес процесите и информационните системи (особено по-старите) трябва да отговарят на новите мерки, ще наложи преразглеждане на съществуващите протоколи за сигурност.

Какво предвижда GDPR?

През април 2016-а Европейският парламент прие GDPR и замени действащата от 1995-а Директива за защита на личните данни, която е морално остаряла. Освен защита на персоналната информация на хората в рамките на ЕС регулацията урежда и “износа” на лични данни към трети страни.

Регламентът унифицира политиката по този въпрос във всички 28 страни членки, което улеснява международните компании – те ще следват един стандарт в блока. Сега е ред на лошата новина – той е доста висок, а това ще рече, че повечето компании ще трябва да помислят за сериозни инвестиции както за да отговорят еднократно, така и за да администрират данните, които оперират.

Притеснени са както средните и малките предприятия на територията на континента, така и опериращите в ЕС американски и азиатски фирми. Според проучване на анализатора Ovum две трети от американските компании са убедени, че GDPR ще ги накара да преосмислят стратегията си в Европа, a 85 на сто от участниците са на мнение, че регламентът ги поставя в по-неизгодна позиция от местните компании.

От коя дата влиза в сила GDRP?

Фирмите трябва да са изпълнили предвиденото в регламента до 25 май 2018-а.

Подготвя се закон, който съответства на регламента, коментира Цанко Цолов от Комисията за защита на личните данни. Проектът ще бъде внесен в Народното събрание през някое от ведомствата, защото институцията няма право на законодателна инициатива. Очакванията са, това да стане месеци преди влизането в сила на регламента. (Проверка на сайта на Народното събрание към 16.01.2018 установи, че за момента проектът не е внесен.) Но независимо дали промените ще бъдат приети от Народното събрание до края на май или не, след 25 май 2018 г. всички български фирми са задължени да се съобразят с изискванията на регламента.

Дори у нас да няма още приет закон в тази посока, GDPR става задължителен, a компаниите, които не изпълняват предвиденото в него, могат да станат обект на съдебни спорове.

Кой от служителите ми отговаря за съответствие с регламента?

В GDPR има няколко роли, които са ключови, за да изпълните разпоредбите: контрольор, обработващ и мениджър защита на данните (data protection officer, DPO). Първият определя как и защо се обработват личните данни. Той отговаря и за подизпълнителите, които също трябва да спазват заложеното в GDPR.

Обработващите данни са вътрешните отдели в компанията или аутсорсинг партньори, които извършват всички или част дейностите. Регламентът вменява отговорност на тези лица в случай на теч или несъответствие. По този начин компания, обработваща данни в облак, ще понесе солидарна отговорност заедно с доставчика, дори вината да е само негова. 

Предвижда се контрольорът и обработващият да изберат DPO, чиито задължения са свързани с изготвянето на стратегията за защита на данните и съответствие с изискванията на регламента. Организациите, които обработват или складират много данни, или чувствителни такива, контролният орган и институциите на местната и държавната власт, задължително трябва да разполагат с DPO. В обхвата на регламента не попадат някои обществени организации като правоприлагащите органи.

Колко ще струва на фирмите съответствието с GDPR?

Според проучване на “ПрайсуотърхаусКупърс” (PwC) 68 на сто от американските компании очакват да похарчат между 1 и 10 млн. щатски долара, за да отговорят на изискванията на регламента. Други 9 процента очакват това да им струва над 10 млн. щатски долара.

В проучването на PwC няма данни за България. Никой от бранша не се наема да назове цифра, дори в граници от-до. Според участници на пазара през следващата година контролният орган ще действа по сигнал и няма да разполага с капацитет за масови проверки. Анкета на сп. CIO с различни компании установява, че са налице два подхода – големите дружества и тези работещи с чувствителни данни ще направят системите си съвместими с регламента, а средните и малките компании няма да се ангажират много.

Компаниите, които ще инвестират в системи, насочват бюджетите си или към сигурността на данните, или към оперативната им обработка. По всяка вероятност болниците и други организации, опериращи чувствителни данни, ще заделят бюджети за сигурност, а онлайн компаниите и търговците – за обработката.

Финансовите институции ще вложат поравно и в двете посоки.

Не на последно място, влизането в сила на GDPR ще повиши и бизнес културата у нас, тъй като компаниите ще са длъжни да докладват за пробиви в системите си и за всички течове на лични данни. Към момента това почти не се прави, тъй като не се изисква от законодателството.

Какви са санкциите, ако се установи несъответствие с GDPR?

GDPR предвижда наказания прогресивно нарастващи глоби до 20 млн. евро или 4 на сто от световния оборот на компанията, ако се установят несъответствия. В доклада на Ovum се казва, че 52 процента от фирмите са убедени, че ще бъдат глобени за несъответствие. Около 6 млрд. евро се очаква да събере ЕС през първата половина на 2018-а от глобите на бизнеса.

Не е ясно как ще как ще се прави връзката между размера на нарушението и паричните санкции. Логично е – при изтичане на данни не може да се направи връзка с конкретно лице, санкцията да е по-малка, а ако има изтичане на ЕГН-та, глобата да е по-голяма. Повечето мнения са в посока, че първите компании, които бъдат “хванати” в несъответствие, ще дадат насока на останалите какво ги чака в подобна ситуация.

Какво изисква GDPR от компаниите?

Изискванията на регламента ще принудят много компании да променят начина, по който обработват, складират и защитават данните на клиентите. Това се позволява само ако потребителите са дали съгласие, но личната информация на потребителите се пази не до отпадане на причината, поради която тя е събрана. Например, ако договорът с даден клиент е изтекъл и законът не предвижда данните да се пазят, те трябва да бъдат изтрити. Персоналната информация на частните лица подлежи на прехвърляне от една компания в друга, но при поискване трябва да бъде изтрита.

Последното е известно още като “правото да бъдеш забравен”. Има и изключения – при законово изискване организацията може да пази данните, напр. за заплати, кредитно досие.

Някои изисквания имат непосредствен ефект върху ИТ сигурността. Например регламентът предвижда компаниите да осигурят “подходящо” ниво на сигурност на данните, но не е уточнено какво се разбира под “подходящо”.

Също така компаниите са задължени да докладват всяко изтичане на данни на контролиращия национален орган и на засегнатите от това лица до 72 часа от момента, в който течът е установен.

От бизнеса се иска още да извършва оценки на въздействието, да помага за намаляване на риска от нарушения, като установи уязвимости и състави стратегия как да се справи с тях.

Как изглежда един успешен проект по GDPR?

Вероятно най-много ще бъдат засегнати компаниите, които предоставят услуги по наемане и оценка на човешките ресурси. Сред услугите, предлагани от повечето международни компании, са управление на човешкия капитал (HCM), базирано на облак, и аутсорсинг на различни дейности. Подобни компании разполагат с данните на милиони физически лица; клиентите им очакват да отговарят на изискванията на регламента и да ги подпомогнат в тази насока. А ако компания с подобен предмет на дейност бъде хваната, че не отговаря на изискванията, тя ще понесе не само глоба, но и загуба на част от бизнеса си, защото клиентите й не искат рискове.

Според редица действащи HR компании у нас много важно е да се направи карта на местонахождението и движението на данните. Това означава опис на продуктите за обработка и на самите процеси на обработка на личната информация.

Механизмите за гарантиране на сигурността на личните данни включват криптиране. Това е важно за компании, които обработват голямо количество чувствителни данни, като здравни заведения, комунални дружества, мобилни оператори, доставчици на интернет и кабелна телевизия, банки и застрахователни компании.

От бранша съветват още компаниите да прилагат комплексен подход, т.е. в проекта да се включат по възможност не само правният и ИТ отделът. Регламентът изисква не само еднократно постигане на съответствие в началото на проекта, но и поддържането му, т.е. важно е не само техническото изпълнение, но и подхода и разбирането на служителите, които работят с данните на клиентите.

Има различни начини за постигане на съответствие с GDPR в зависимост от бизнес софтуера, с който компаниите разполагат, и предмета им на дейност. Те обаче трябва да държат във фокуса си принципа за отчетност, залегнал в регламента, и да документират стъпките, които са предприели, за да изпълнят изискванията.

Какво да направят компаниите, за да се подготвят за GDPR?

Според компанията за управление на риска Marsh задачата трябва да се разглежда като неотложна от страна на топ мениджмънта. Спазването на световните стандарти за “хигиена” на данните е част от тази готовност.

Всички акционери трябва да вземат отношение. Не е по силите на ИТ отдела да се справи сам с изискванията. В процеса трябва да бъдат включени още маркетингът, продажбите, операциите – всяка група в организацията, която събира, анализира или има досег с данните на клиентите.

Ако хора от споменатите звена участват в работната група по GDPR, те ще могат да споделят с ИТ отдела как ползват данните, което ще помогне при промяната на процедурите. Така те ще са по-добре подготвени да се справят с изискванията, които има новата регулация към работата им.

Назначете си или изберете служител, който да изпълнява задълженията на DPO. Регламентът не посочва дали с DPO-то трябва да се занимава отделен служител. Длъжността може да се съвмести с близка такава, ако не е налице конфликт на интереси. В противен случай трябва да наемете човек, като не е задължително да е на пълен щат. Възможно е използването и на консултант, който работи за няколко организации.

Всяка компания трябва да има план за защита на личните данни, които складира или обработва. Повечето фирми разполагат с такъв и само ще трябва да го огледат и да го нагодят към изискванията на регламента.

Направете оценка на риска – целта да разберете с какъв тип данни разполагате и какви са рисковете около тях. Не забравяйте, че оценката на риска трябва да посочи и мерките, предприети за смекчаване на този риск. Ключов елемент в тази оценка ще бъде откриването на всички технологии в сянка, които биха могли да събират и съхраняват лични данни, например ако сайтът на компанията ви има вградени технологии за събиране на лични данни, напр. кукита.

Прилагайте мерки за смекчаване на риска: след като идентифицирате рисковете и съставите стратегия как да ги намалите, трябва да приложите мерките в нея. За повечето компании това означава само преразглеждане и актуализация на съществуващите мерки за намаляване на риска.

Не на последно място – GDPR се отнася и до малките компании. Някои нямат необходимите ресурси, за да отговорят на изискванията, но могат да потърсят консултанти и ИТ експерти, които да им помогнат да сведат до минимум неудобствата от въвеждането на регламента.

Подгответе план за реакция при инциденти: GDPR изисква дружествата да докладват течове на данни в рамките на 72 часа. Реакцията на кризисния щаб и ефикасността на предприетите действия да намали щетите ще окажат пряко влияние върху риска на дружеството от глоби за нарушението. Фирмите трябва да подадат адекватна информация и да отговорят в рамките на срока.

 Създайте процес за текуща оценка: от бизнеса се иска да гарантира, че остава в съответствие, което предполага мониторинг и непрекъснато усъвършенстване.