Как прилагането на GDPR изискванията ни направи по-внимателни при изпълнението на работните задачи?
nacorp
Преди няколко дни прочетохме статия как GDPR засяга работния процес в Обединеното кралство. Данните говореха силно. Проучването сред над 1000 британски работници, издадено от Fellowes, установява, че много от служителите са по-склонни да се съобразят с притискащите крайни срокове, отколкото да гарантират, че са в съответствие с GDPR. Интересувате ли се дали усилията Ви за спазване на GDPR са променили работния ден на вашите служители?
Ето данните:
Приятели и колеги, с които разговаряхме, също споделиха, че процесът по прилагане на практики за предотвратяване на споменатите пропуски изисква повече усилия и ресурси, отколкото си представяли. Затова се замислихме, че ние от Национални Архиви, може би, имаме късмет. Или пък фактът, че не сме изпитвали подобни затруднения е заради процедурите, които прилагаме, във връзка с изискванията за предоставяне услугите ни. Но и преди, и дори покрай предизвикателствата с навлизането GDPR, подобни затруднения и заплахи за сигурността на личните данни и информацията, не са изниквали пред нас. *
Не, не твърдим, че сме гурута в GDPR-а. Но забелязахме, че започнахме да прилагаме т.нар. от нас “проверка +1”. Тази допълнителна защита, която слагаме, или допълнителната проверка, която правим, определено ни помагат да се чувстваме по-спокойни. Така успешно проверяваме и дали не сме пропуснали някой детайл. Ще се изненадате, че не се налага да се влага в скъпи технологии за защита, ако колегите и служителите следват установени процедури.
Стъпки за преодоляване на притесненията
Ето кои са нашите стъпки за бързо преодоляване на горните седем опасения:
Какво е фирмена политика за GDPR?
Това всъщност е документ, допълващ трудовата характеристика и договорните отношения с всеки служител. Той се адаптира към специфичните изисквания на компаниите. Най-общо казано, той засяга въпросите за връзката между работа на гражданите, предоставянето и обработката на личните им данни. Включени са процедури за неприкосновеност на личните данни и политики за сигурност на информацията. Присъстват и системите и процесите за управление на личните данни. Важно е целият персонал да има достъп до този документ. В следващ пост ще влезем в детайли по тази точка, за да очертаем рамката и засегнем основните аспекти, които трябва да се заложат в нея.
Достъп до данни, които не би трябвало да виждаме
При нас, следвайки вътрешно-фирмени процедури и установен качествен контрол, за всеки проект отговарят определени лица, вписани в допълнение към договор, който се подписва с клиента. В случай, че конкретните хора отсъстват, тяхното място се заема от друг колега, който получава достъп до проекта, единствено след одобрение от горно ниво. Прилагаме и политиката: “need to know” – т.е. всичко, до което конкретен човек не би трябвало да има достъп, не се разкрива пред него.
Данни без надзор
Тук, за да подсигурим, че лични данни няма да останат без надзор прилагаме две бързи и лесно изпълними практики – практиките за “чисто работно място” clean desk policy и “чист екран”. Тези лесни решения са изключително лесно запомнящи се, че се превръщат в навик и резултатът е, че спестяват хиляди главоболия!
Неправомерно изпращане на данни по имейл
Имейлите са ни любима тема. Без майтап! 🙂 По тях протича голямата част от комуникацията с клиентите. Така, че това бе задължително звено, което трябваше да подсигурим. Мисля, че няма човек, на който да не се е случвало да изпрати имейл до грешен човек. Точно този тип грешка от недоглеждане – от бързина или разсейване, е често срещана, дотолкова, че май никой не е застрахован. За да предотвратим изтичане на информация, ако това ни се случи, изпращаме имейлите с поверителна информация в прикачени файлове. Тези файлове са заключени с парола, която изпращаме по друг канал, единствено до предварително посочено от клиента лице за получаване на поисканата информация. Така дори рецепиентът да е грешен, той няма да може да достъпи до съдържащата се във файла информация. Допълнително прилагаме Pretty Good Privacy протекция за комуникацията по интернет. (повече за нея тук: https://medium.freecodecamp.org/how-does-pretty-good-privacy-work-3f5f75ecea97)
Получаване на имейли с данни
Били сме и от другата страна – на получаващия имейли с незащитени данни. Ако все пак имейла е за нас има тънък момент, в който при отговора на същия, можете неволно да направи и себе си издайник на лични данни. За да запазим основната идея на първоначалния имейл без да променяме основното съдържание, при отговора си внимателно маскираме/закодираме чрез *** поверителните данни.
Флашки с данни
В работата си изключително рядко се налага да използваме такъв вид носител на информация. Това, което правим и, което можете да вземете като добра практика, е когато използвате флаш памет да я криптирате – т.е. отново да използвате т.нар. “ключ”. В момента, в който USB паметта изпълни предназначението си за пренос на данни – информацията, съдържаща се на нея да бъде изтривана, оставяйки флаш-паметта празна.
Документи на обществени места
Когато доставяме информация, използваме цяла документирана процедура за проследяване на информацията/документа. Накратко: съветът ни е, ако не използвате собствен транспорт при доставка на документ, да е от човек на човек като документирате това предаване. Може да създадете начин за проследяване на движението на съответния документ. Най-лесното решение е, спрямо вътрешните Ви процедури, да се създаде бланка, на която да има информация от базов тип. Това включва например кога и кой е предал документа и кога и кой го е приел. Реципрочно същото следва да важи и за връщането на документа.
Темата за защитата на личните данни обаче не приключва с европейския регламент. В България тя намира своето продължение чрез Закона за защита на личните данни (ЗЗЛД) – рамката, която определя как изискванията на GDPR се прилагат на национално ниво.
ЗЗЛД - българският механизъм за защита на личните данни
Когато говорим за защита на личните данни, не можем да разглеждаме Регламент (ЕС) 2016/679 (GDPR) отделно от Закона за защита на личните данни (ЗЗЛД) - националния акт, който урежда прилагането на регламента у нас. ЗЗЛД определя конкретните процедури, задължения и отговорности на организациите, които обработват лични данни на физически лица в България.
Благодарение на него Комисията за защита на личните данни (КЗЛД) контролира спазването на правилата и издава сертификати за обработка на лични данни на организациите, които прилагат добри практики в тази област. За нас това е не само юридическо изискване, а и знак за професионализъм и доверие между фирмата и нейните клиенти.
Според ЗЗЛД всички администратори трябва ясно да определят кои лични данни са защитени и да прилагат конкретни мерки срещу злоупотреба с лични данни. Тези мерки включват ограничаване на достъпа, криптиране на информацията и редовно обучение на служителите.
Съществуват различни категории лични данни – от основни идентификационни данни като имена и ЕГН до чувствителни категории като здравни, биометрични или данни, свързани с убеждения и принадлежност. Всяко неправомерно използване на лични данни подлежи на санкции съгласно закона.
За компаниите това означава, че при всеки проект, процес или услуга, в която се събират и съхраняват лични данни, трябва да се обработват само тези данни, които са абсолютно необходими за конкретната цел.
Ние от Национални Архиви разглеждаме спазването на ЗЗЛД като естествено продължение на европейския регламент. Прилагането му ни помага не само да гарантираме сигурността на поверената ни информация, но и да изграждаме култура на доверие, прозрачност и внимание към всеки детайл.
Заключение
Спазването на GDPR и ЗЗЛД не е просто нормативно задължение - то е етичен стандарт в работата с клиентски и корпоративни данни. Правилното управление на информацията, осъзнаването на категориите лични данни и предотвратяването на злоупотреби са ключови за изграждането на сигурна бизнес среда и устойчиво доверие.
* Отдаваме тежест на факта, че от години процедурите ни са в съответствие и сертифицирани по международния интегриран стандарт ISO 9001:27001 (Контрол на качеството и информационна сигурност). В преминаването си в съответствие с GDPR направихме GAP анализ и преминахме успешно тестове по киберсигурност.
** Статията, от която са взети данните, в оригинал можете да прочетете тук: https://www.information-age.com/gdpr-policy-11656/
Авторски права © Национални Архиви 2019
Свързани статии
Абонирайте се за нашия бюлетин
"*" показва задължителните полета