GDPR: Оперативният екип

#2 | Кой трябва да участва в структурата, която ще разработи системата за защита на личните данни
Shutterstock

Иван Савов, председател на Европейския институт за риск политика

Продължава рубриката на сп. „Икономист“ и Европейския институт за риск политика (www.erpi.be) за прилагането на новия регламент за защита на личните данни на ЕС (GDPR), който влиза в сила на 25 май т.г. В първата публикация, в бр. 11 на списанието, представихме най-общо какво представлява регламентът, какви изисквания поставя пред компаниите и организациите и какви са първите стъпки към привеждането им в съответствие – мотивация, определяне на обхвата на системата и решение дали проектът ще се използва за цялостна оптимизация на процесите в организацията.

Следващата стъпка, която разглеждаме в този материал, е структурирането на оперативния екип, който ще разработва системата.

Преди това е важно да се определи Комитетът по GDPR, в който трябва да влязат представители на висшето ръководство на съответната компания, напр. директорите на отделите финанси, човешки ресурси, както и на оперативните отдели, свързани с доставка на суровини, производство и/или обслужване, продажби, маркетинг, сервиз (те са специфични за всеки отделен бранш). Ролята на този комитет е да ръководи стратегически разработването на системата, а впоследствие да се заеме с контрола на ефективното ѝ прилагане и усъвършенстване.

Оперативният екип е този, който на практика ще се заеме с разработването на системата, а именно ще осъществи инвентаризация на данните, анализ на риска, ще разработи процедури и политики. В зависимост от размера на организацията той може да е хоризонтален или йерархичен (при големи организации).

Начело на оперативния екип трябва да бъде избран мениджър GDPR, който ще ръководи разработката и впоследствие поддръжката и подобренията на системата. Неговата функция е отделна от тази на длъжностното лице по защита на данните, на което ще се спрем по-нататък в рубриката.

Една примерна структура на проектния екип, която може да се модифицира според спецификата на компанията или организацията, се състои от оперативните мениджъри на следните направления: ИТ и сигурност, Финанси и счетоводство, Човешки ресурси, Правен отдел, Маркетинг и Продажби и Закупуване, както и мениджърите по бизнес линии. При по-малки организации този екип е един, а при по-големи се структурират подекипи по тези направления.

Препоръчително е да се анализира ползата от включването към екипа на външни партньори, клиенти, консултанти и доставчици, като се прецени какъв експерт би бил необходим и на какъв етап той трябва да бъде включен. Това е важно и за допълване на нужната компетентност на проектния екип, тъй като в много случаи компанията не разполага със сто процента от необходимата експертност.
След като се структурира екипът, се пристъпва към планиране на проекта, което включва:
разработването на график, разпределяне на задачите, определяне на тяхната последователност, избиране на отговорници за отделните етапи. За тази цел могат да се следват препоръките на Комисията за защита на личните данни за отделните етапи, които са качени на нейния сайт, като те се разпределят в логическа последователност.

Основните етапи са следните:
• Организиране на ръководство на проекта и структуриране;
• Инвентаризация на данните;
• Анализ на процесите;
• Оценка на риска и изготвяне на програма за управление на риска;
• Оптимизация/минимизация на данните и преглед на правните основания;
• Информираност на субекта на данните и прозрачност;
• Разработване на процедури, политики и процесни карти;
• Обучение.

Важно е още на този етап от процеса за привеждане на компанията в съответствие с GDPR да се включи активно целият ѝ състав, за да може ефективно да се проведат всички етапи и служителите, чрез своето участие, да развият чувство на психологическа собственост над системата за защита на данните. Това ще направи системата ефективна и ефикасна и ще утвърди принципа за нейното поддържане и усъвършенстване.

В следващата публикация в рубриката ще разгледаме задълженията и правомощията на длъжностното лице по защита на данните.

Текстът е публикуван в брой 15/2018 г. на списание „Икономист“, който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя.

Коментари