Как прилагането на GDPR изискванията ни направи по-внимателни при изпълнението на работните задачи?

Как прилагането на GDPR изискванията ни направи по-внимателни при изпълнението на работните задачи?
team-work

Преди няколко дни прочетохме статия как GDPR засяга работния процес в Обединеното кралство. Данните говореха силно. Проучването сред над 1000 британски работници, издадено от Fellowes, установява, че много от служителите са по-склонни да се съобразят с притискащите крайни срокове, отколкото да гарантират, че са в съответствие с GDPR. Интересувате ли се дали усилията Ви за спазване на GDPR са променили работния ден на вашите служители?

Ето данните:

17%
от работниците никога не са получавали конкретна фирмена политика за GDPR.
54%
са виждали лични или поверителни данни, които не би трябвало да имат.
33%
от работниците признават, че са оставили конфиденциални или лични данни без надзор
45%
са изпратили поверителна електронна поща на неподходящия човек.
61%
са получили неправилен имейл от неподходящо лице. (Забележете несъответствието – 45% признават, че изпращат имейл на грешен човек, 61% са получили грешен имейл.)
19%
са оставили някъде USB флашка.
14%
са оставили поверителни документи на обществени места.

Приятели и колеги, с които разговаряхме, също споделиха, че процесът по прилагане на практики за предотвратяване на споменатите пропуски изисква повече усилия и ресурси, отколкото си представяли. Затова се замислихме, че ние от Национални Архиви, може би, имаме късмет. Или пък фактът, че не сме изпитвали подобни затруднения е заради процедурите, които прилагаме, във връзка с изискванията за предоставяне услугите ни. Но и преди, и дори покрай предизвикателствата с навлизането GDPR, подобни затруднения и заплахи за сигурността на личните данни и информацията, не са изниквали пред нас. *


Не, не твърдим, че сме гурута в GDPR-а. Но забелязахме, че започнахме да прилагаме т.нар. от нас “проверка +1”. Тази допълнителна защита, която слагаме, или допълнителната проверка, която правим, определено ни помагат да се чувстваме по-спокойни. Така успешно проверяваме и дали не сме пропуснали някой детайл. Ще се изненадате, че не се налага да се влага в скъпи технологии за защита, ако колегите и служителите следват установени процедури.

Стъпки за преодоляване на притесненията

Ето кои са нашите стъпки за бързо преодоляване на горните седем опасения:

gdpr-spravyane
1

Какво е фирмена политика за GDPR?

Това всъщност е документ, допълващ трудовата характеристика и договорните отношения с всеки служител. Той се адаптира към специфичните изисквания на компаниите. Най-общо казано, той засяга въпросите за връзката между работа на гражданите, предоставянето и обработката на личните им данни. Включени са процедури за неприкосновеност на личните данни и политики за сигурност на информацията. Присъстват и системите и процесите за управление на личните данни. Важно е целият персонал да има достъп до този документ. В следващ пост ще влезем в детайли по тази точка, за да очертаем рамката и засегнем основните аспекти, които трябва да се заложат в нея.

2

Достъп до данни, които не би трябвало да виждаме

При нас, следвайки вътрешно-фирмени процедури и установен качествен контрол, за всеки проект отговарят определени лица, вписани в допълнение към договор, който се подписва с клиента. В случай, че конкретните хора отсъстват, тяхното място се заема от друг колега, който получава достъп до проекта, единствено след одобрение от горно ниво. Прилагаме и политиката: “need to know” – т.е. всичко, до което конкретен човек не би трябвало да има достъп, не се разкрива пред него.

3

Данни без надзор

Тук, за да подсигурим, че лични данни няма да останат без надзор прилагаме две бързи и лесно изпълними практики – практиките за “чисто работно място” clean desk policy и “чист екран”Тези лесни решения са изключително лесно запомнящи се, че се превръщат в навик и резултатът е, че спестяват хиляди главоболия!

4

Неправомерно изпращане на данни по имейл

Имейлите са ни любима тема. Без майтап! 🙂 По тях протича голямата част от комуникацията с клиентите. Така, че това бе задължително звено, което трябваше да подсигурим. Мисля, че няма човек, на който да не се е случвало да изпрати имейл до грешен човек. Точно този тип грешка от недоглеждане – от бързина или разсейване, е често срещана, дотолкова, че май никой не е застрахован. За да предотвратим изтичане на информация, ако това ни се случи, изпращаме имейлите с поверителна информация в прикачени файлове. Тези файлове са заключени с парола, която изпращаме по друг канал, единствено до предварително посочено от клиента лице за получаване на поисканата информация. Така дори рецепиентът да е грешен, той няма да може да достъпи до съдържащата се във файла информация. Допълнително прилагаме Pretty Good Privacy протекция за комуникацията по интернет. (повече за нея тук: https://medium.freecodecamp.org/how-does-pretty-good-privacy-work-3f5f75ecea97)

5

Получаване на имейли с данни

Били сме и от другата страна – на получаващия имейли с незащитени данни. Ако все пак имейла е за нас има тънък момент, в който при отговора на същия, можете неволно да направи и себе си издайник на лични данни. За да запазим основната идея на първоначалния имейл без да променяме основното съдържание, при отговора си внимателно маскираме/закодираме чрез *** поверителните данни.

6

Флашки с данни

В работата си изключително рядко се налага да използваме такъв вид носител на информация. Това, което правим и, което можете да вземете като добра практика, е когато използвате флаш памет да я криптирате – т.е. отново да използвате т.нар. “ключ”. В момента, в който USB паметта изпълни предназначението си за пренос на данни – информацията, съдържаща се на нея да бъде изтривана, оставяйки флаш-паметта празна.

7

Документи на обществени места

Когато доставяме информация, използваме цяла документирана процедура за проследяване на информацията/документа. Накратко: съветът ни е, ако не използвате собствен транспорт при доставка на документ, да е от човек на човек като документирате това предаване. Може да създадете начин за проследяване на движението на съответния документ. Най-лесното решение е, спрямо вътрешните Ви процедури, да се създаде бланка, на която да има информация от базов тип. Това включва например кога и кой е предал документа и кога и кой го е приел. Реципрочно същото следва да важи и за връщането на документа.

А Вие сблъсквали ли сте се с тези притеснения? Споделете ни какви решения приложихте.

* Отдаваме тежест на факта, че от години процедурите ни са в съответствие и сертифицирани по международния интегриран стандарт ISO 9001:27001 (Контрол на качеството и информационна сигурност). В преминаването си в съответствие с GDPR направихме GAP анализ и преминахме успешно тестове по киберсигурност.

** Статията, от която са взети данните, в оригинал можете да прочетете тук: https://www.information-age.com/gdpr-policy-123475401/

Авторски права © Национални Архиви 2019

Other related posts