Въвеждане на GDPR: Откъде да започнем

Новият европейски регламент за защита на личните данни засяга както големи компании, обработващи масиви с данни, така и малки компании, които работят с данните на служители, доставчици и клиенти
Shutterstock

Иван Савов, председател на Европейския институт за риск политика

Съвместно с Европейския институт за риск политика (ERPI) сп. „Икономист“ започва рубрика за прилагането на новия регламент за защита на личните данни на ЕС (GDPR), който влиза в сила на 25 май т.г. Целта ни е в поредица от статии да представим най-важните стъпки за изпълнение на изискванията на GDPR, които всеки собственик или мениджър на малка и средна фирма ще може да изпълни на практика.

Изисквания за защита на личните данни има отдавна в европейското законодателство – например Европейската директива за защита на данните. Но навсякъде спазването беше слабо и регулаторите не успяха да наложат култура на защита на личните данни. Затова статутът на новия документ беше повдигнат в регламент и се увеличи максималният размер на глобите – до 20 млн. евро или 4% от глобалния приход на организацията. Но не страхът от глоби трябва да е основният мотив за компаниите, а възможността да използваме тези изисквания, за да създадем стабилна и ефективна система за защита на личните данни, за които носим отговорност, и да се предпазим от огромните негативни последици за нашата организация и за клиентите ни, в случай че допуснем пробив.

Европейският институт за риск политика (ERPI) – www.erpi.be, е организация с нестопанска цел с основни сфери на дейност: управление на риска, киберсигурност, защита на данните, борба с корупцията и измамите. ERPI работи активно с ЕU GDPR Institute www.eugdpr.institute. Като водещи в тези области, с повече от 800 асоциирани експерти, двете организации предлагат устойчиви решения и партньорства по привеждане в съответствие с новия регламент за защита на личните данни. ERPI предлага: експертни съвети за бизнес организации и държавни администрации; индивидуално изпълнение на длъжността служител по защита на данните за всяка организация; професионални практически обучения. Преминалите обученията получават Сертификат за компетенции от Европейския институт по риск политика и EU GDPR Institute.

Изискванията на регламента засягат както малки организации, които работят с данните на служители, доставчици и клиенти, така и големи компании, чийто бизнес включва обработката на големи масиви с лични данни. Наличието на уебсайтове на фирмите, които, за да се ползват, изискват някаква форма за регистрация и събират лични данни, също са основание за прилагане на регламента.

От компаниите се изисква да въведат система от процеси, процедури и контроли за ефективно и законосъобразно боравене с личните данни и управление на риска, свързан със защитата на тези данни. Въвеждането на такава система изисква ангажимент от страна на ръководството, осигуряване на нужните финансови ресурси, компетентност и време за изпълнение на проекта по внедряване.

Изграждането на такава система влиза в рамките на концепцията системи за управление, включително системи за управление на риска, за които има разработени множество стандарти от ISO (International Standards Organization). Близки и приложими като платформа за разгръщане на системата за съответствие към GDPR са стандартите ISO/IEC 27001:2013, ISO/IEC 27018:2014, BS 10012:2017. Всички те стъпват на общата рамка за стандарти за системи за управление на ISO – Annex SL.

Shutterstock

Компаниите, които вече имат внедрени такива системи, ще са улеснени при прилагането на изискванията на GDPR. Но много от тях осъзнават, че привеждането в съответствие към GDPR е една отлична възможност за цялостна оптимизация на процесите в организацията и постигането на по-голяма ефективност и ефикасност в бизнеса и управлението на риска като цяло. Това е и холистичният подход към въвеждане на GDPR – да стане чрез проект за управление на промяната и цялостна организационна оптимизация. Препоръчвам го на всички, независимо дали имат вече внедрени системи за управление, или не.

След като вземем решение за обхвата на проекта, преминаваме към фазата за постигане не само на ангажираност на висшето ръководство, а и на отдаденост! Лидерите на компанията трябва да са активни участници в процеса и да водят целия екип към постигането на целите. Формално, трябва да се изгради и стратегически екип по защита на данните, съставен от висшия мениджмънт и ръководен от един от тях, който ще дава насоките, ресурсите и ще контролира цялостното изпълнение на проекта.

Важно решение на този пръв етап е дали трябва да се назначи длъжностно лице по защита на данните (Data Protection Officer). По регламент такъв служител е необходим за компании с голям брой служители и/или контрагенти и за такива, които работят с големи масиви данни. Като ориентир бих препоръчал да мислите за DPO, ако сте организация с повече от 250 служители или обработвате лични данни на повече от 10 хиляди субекта. Разбира се, винаги може да се консултирате с Комисията за защита на личните данни. Но ако сте структура на администрацията или публична организация, задължително трябва да имате DPO.

В по-следващия бр.13 на сп. „Икономист“ ще разгледаме структурирането на оперативния екип, осигуряване на експертиза, планирането на процеса по привеждане в съответствие и избор на длъжностно лице по защита на данните. Ще разгледаме в детайли изискванията за компетентност за DPO и какво трябва да влезе в длъжностната му характеристика.

Текстът е публикуван в брой 11/2018 г. на списание „Икономист“, който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя

Коментари