Как прилагането на GDPR изискванията ни направи по-внимателни при изпълнението на работните задачи?

Това всъщност е документ, допълващ трудовата характеристика и договорните отношения с всеки служител. Той се адаптира към специфичните изисквания на компаниите. Най-общо казано, той засяга въпросите за връзката между работа на гражданите, предоставянето и обработката на личните им данни. Включени са процедури за неприкосновеност на личните данни и политики за сигурност на информацията. Присъстват и системите и процесите за управление на личните данни. Важно е целият персонал да има достъп до този документ. В следващ пост ще влезем в детайли по тази точка, за да очертаем рамката и засегнем основните аспекти, които трябва да се заложат в нея.

При нас, следвайки вътрешно-фирмени процедури и установен качествен контрол, за всеки проект отговарят определени лица, вписани в допълнение към договор, който се подписва с клиента. В случай, че конкретните хора отсъстват, тяхното място се заема от друг колега, който получава достъп до проекта, единствено след одобрение от горно ниво. Прилагаме и политиката: “need to know” – т.е. всичко, до което конкретен човек не би трябвало да има достъп, не се разкрива пред него.

Тук, за да подсигурим, че лични данни няма да останат без надзор прилагаме две бързи и лесно изпълними практики – практиките за “чисто работно място” clean desk policy и “чист екран”. Тези лесни решения са изключително лесно запомнящи се, че се превръщат в навик и резултатът е, че спестяват хиляди главоболия!

Имейлите са ни любима тема. Без майтап! 🙂 По тях протича голямата част от комуникацията с клиентите. Така, че това бе задължително звено, което трябваше да подсигурим. Мисля, че няма човек, на който да не се е случвало да изпрати имейл до грешен човек. Точно този тип грешка от недоглеждане – от бързина или разсейване, е често срещана, дотолкова, че май никой не е застрахован. За да предотвратим изтичане на информация, ако това ни се случи, изпращаме имейлите с поверителна информация в прикачени файлове. Тези файлове са заключени с парола, която изпращаме по друг канал, единствено до предварително посочено от клиента лице за получаване на поисканата информация. Така дори рецепиентът да е грешен, той няма да може да достъпи до съдържащата се във файла информация. Допълнително прилагаме Pretty Good Privacy протекция за комуникацията по интернет. (повече за нея тук: https://medium.freecodecamp.org/how-does-pretty-good-privacy-work-3f5f75ecea97)

Били сме и от другата страна – на получаващия имейли с незащитени данни. Ако все пак имейла е за нас има тънък момент, в който при отговора на същия, можете неволно да направи и себе си издайник на лични данни. За да запазим основната идея на първоначалния имейл без да променяме основното съдържание, при отговора си внимателно маскираме/закодираме чрез *** поверителните данни.

В работата си изключително рядко се налага да използваме такъв вид носител на информация. Това, което правим и, което можете да вземете като добра практика, е когато използвате флаш памет да я криптирате – т.е. отново да използвате т.нар. “ключ”. В момента, в който USB паметта изпълни предназначението си за пренос на данни – информацията, съдържаща се на нея да бъде изтривана, оставяйки флаш-паметта празна.

Когато доставяме информация, използваме цяла документирана процедура за проследяване на информацията/документа. Накратко: съветът ни е, ако не използвате собствен транспорт при доставка на документ, да е от човек на човек като документирате това предаване. Може да създадете начин за проследяване на движението на съответния документ. Най-лесното решение е, спрямо вътрешните Ви процедури, да се създаде бланка, на която да има информация от базов тип. Това включва например кога и кой е предал документа и кога и кой го е приел. Реципрочно същото следва да важи и за връщането на документа.