Как прилагането на GDPR изискванията ни направи по-внимателни при изпълнението на работните задачи?

Преди няколко дни прочетохме статия как GDPR засяга работния процес в Обединеното кралство. Данните говореха силно. Проучването сред над 1000 британски работници, издадено от Fellowes, установява, че много от служителите са по-склонни да се съобразят с притискащите крайни срокове, отколкото да гарантират, че са в съответствие с GDPR. Интересувате ли се дали усилията Ви за спазване на GDPR са променили работния ден на вашите служители?

Абонирайте се за нашия бюлетин

Ето данните:

1. 17% от работниците никога не са получавали конкретна фирмена политика за GDPR.
2. 54% са виждали лични или поверителни данни, които не би трябвало да имат.
3. 33% от работниците признават, че са оставили конфиденциални или лични данни без надзор
4. 45% са изпратили поверителна електронна поща на неподходящия човек.
5. 61% са получили неправилен имейл от неподходящо лице. (Забележете несъответствието – 45% признават, че изпращат имейл на грешен човек, 61% са получили грешен имейл.)
6. 19% са оставили някъде USB флашка.
7. 14% са оставили поверителни документи на обществени места.

Приятели и колеги, с които разговаряхме, също споделиха, че процесът по прилагане на практики за предотвратяване на споменатите пропуски изисква повече усилия и ресурси, отколкото си представяли. Затова се замислихме, че ние от Национални Архиви, може би, имаме късмет. Или пък фактът, че не сме изпитвали подобни затруднения е заради процедурите, които прилагаме, във връзка с изискванията за предоставяне услугите ни. Но и преди, и дори покрай предизвикателствата с навлизането GDPR, подобни затруднения и заплахи за сигурността на личните данни и информацията, не са изниквали пред нас. *

Не, не твърдим, че сме гурута в GDPR-а. Но забелязахме, че започнахме да прилагаме т.нар. от нас “проверка +1”. Тази допълнителна защита, която слагаме, или допълнителната проверка, която правим, определено ни помагат да се чувстваме по-спокойни. Така успешно проверяваме и дали не сме пропуснали някой детайл. Ще се изненадате, че не се налага да се влага в скъпи технологии за защита, ако колегите и служителите следват установени процедури.

Стъпки за преодоляване на притесненията

Ето кои са нашите стъпки за бързо преодоляване на горните седем опасения:

1. Какво е фирмена политика за GDPR?

   Това всъщност е документ, допълващ трудовата характеристика и договорните отношения с всеки служител. Той се адаптира към специфичните изисквания на компаниите. Най-общо казано, той засяга въпросите за връзката между работа на гражданите, предоставянето и обработката на личните им данни. Включени са процедури за неприкосновеност на личните данни и политики за сигурност на информацията. Присъстват и системите и процесите за управление на личните данни. Важно е целият персонал да има достъп до този документ. В следващ пост ще влезем в детайли по тази точка, за да очертаем рамката и засегнем основните аспекти, които трябва да се заложат в нея.

2. Достъп до данни, които не би трябвало да виждаме

   При нас, следвайки вътрешно-фирмени процедури и установен качествен контрол, за всеки проект отговарят определени лица, вписани в допълнение към договор, който се подписва с клиента. В случай, че конкретните хора отсъстват, тяхното място се заема от друг колега, който получава достъп до проекта, единствено след одобрение от горно ниво. Прилагаме и политиката: “need to know” – т.е. всичко, до което конкретен човек не би трябвало да има достъп, не се разкрива пред него.

3. Данни без надзор

   Тук, за да подсигурим, че лични данни няма да останат без надзор прилагаме две бързи и лесно изпълними практики – практиките за “чисто работно място” clean desk policy и “чист екран”. Тези лесни решения са изключително лесно запомнящи се, че се превръщат в навик и резултатът е, че спестяват хиляди главоболия!

    

4. Неправомерно изпращане на данни по имейл

   Имейлите са ни любима тема. Без майтап! 🙂 По тях протича голямата част от комуникацията с клиентите. Така, че това бе задължително звено, което трябваше да подсигурим. Мисля, че няма човек, на който да не се е случвало да изпрати имейл до грешен човек. Точно този тип грешка от недоглеждане – от бързина или разсейване, е често срещана, дотолкова, че май никой не е застрахован. За да предотвратим изтичане на информация, ако това ни се случи, изпращаме имейлите с поверителна информация в прикачени файлове. Тези файлове са заключени с парола, която изпращаме по друг канал, единствено до предварително посочено от клиента лице за получаване на поисканата информация. Така дори рецепиентът да е грешен, той няма да може да достъпи до съдържащата се във файла информация. Допълнително прилагаме Pretty Good Privacy протекция за комуникацията по интернет. (повече за нея тук: https://medium.freecodecamp.org/how-does-pretty-good-privacy-work-3f5f75ecea97)

5. Получаване на имейли с данни

   Били сме и от другата страна – на получаващия имейли с незащитени данни. Ако все пак имейла е за нас има тънък момент, в който при отговора на същия, можете неволно да направи и себе си издайник на лични данни. За да запазим основната идея на първоначалния имейл без да променяме основното съдържание, при отговора си внимателно маскираме/закодираме чрез *** поверителните данни.

    

6. Флашки с данни

   В работата си изключително рядко се налага да използваме такъв вид носител на информация. Това, което правим и, което можете да вземете като добра практика, е когато използвате флаш памет да я криптирате – т.е. отново да използвате т.нар. “ключ”. В момента, в който USB паметта изпълни предназначението си за пренос на данни – информацията, съдържаща се на нея да бъде изтривана, оставяйки флаш-паметта празна.

7. Документи на обществени места

   Когато доставяме информация, използваме цяла документирана процедура за проследяване на информацията/документа. Накратко: съветът ни е, ако не използвате собствен транспорт при доставка на документ, да е от човек на човек като документирате това предаване. Може да създадете начин за проследяване на движението на съответния документ. Най-лесното решение е, спрямо вътрешните Ви процедури, да се създаде бланка, на която да има информация от базов тип. Това включва например кога и кой е предал документа и кога и кой го е приел. Реципрочно същото следва да важи и за връщането на документа.

А Вие сблъсквали ли сте се с тези притеснения? Споделете ни в коментар какви решения приложихте.

Абонирайте се за нашия бюлетин

________________________________

* Отдаваме тежест на факта, че от години процедурите ни са в съответствие и сертифицирани по международния интегриран стандарт ISO 9001:27001 (Контрол на качеството и информационна сигурност). В преминаването си в съответствие с GDPR направихме GAP анализ и преминахме успешно тестове по киберсигурност.

** Статията, от която са взети данните, в оригинал можете да прочетете тук: https://www.information-age.com/gdpr-policy-123475401/

Авторски права © Национални Архиви 2019