27 авг. Пет основни грешки при прилагането на GDPR

Регулацията не се отнася за вас

Ние сме едва от няколко месеца в GDPR. Проблемите и безпокойството, с които се сблъскват дружествата по отношение на спазването на нормите за защита на личните данни са преобладаващи. Не е изненадващо! Някои фирми са достатъчно активни, за да копаят дълбоко, да се занимават с експерти по киберсигурността и защитата на данните и да търсят специални услуги за готовност към GDPR. Повечето обаче избират да чакат и да наблюдават, като цитират липсата на яснота като основен възпиращ елемент за спазването на новите разпоредби. Неправилният и несигуреният подход, който много фирми са възприели към GDPR, означава, че не са изкопали дълбоко и не са схванали истинската същност на Регламента. Това не изключва и моментите, в които фирмите извършват грешки при въвеждането на мерки за сигурност и технически решения. Ето ръководство, което ви помага да избегнете най-често срещаните грешки в GDPR.

Регламентите не биха могли да бъдат по-ясни – GDPR се прилага за всеки бизнес, който или работи в държава от Европейския съюз, или се занимава с лични данни на европейски граждани. Обединеното кралство също е включено в този списък с държави. Това е така, защото Брекзитът още не се е материализирал, въпреки че хората са гласували за него, а Регламентът вече е закон.

Изненадващо е как бизнесът все още цитира объркването си относно приложимостта на GDPR към бизнеса си, когато фирмата е регистрирана извън ЕС. За глобалните бизнеси е справедливо предположение, че държавите от ЕС са част от целевия пазар.

Дори и един нов бизнес, който все още се разширява, да кажем в Северна и Южна Америка, вероятно ще продава на клиенти от Европейския съюз. В момента, в който това се случи, GDPR става приложим за тях.

Липсата на знания или „объркване“ няма да бъде полезна, ако несъответствието с GDPR създаде скъпи съдебни спорове за вашия бизнес (въпреки че някои фирми са избрали да не позволяват на никого в Европа да използва сайта си). Вместо това, признайте, че вече трябва да сте съгласни с Регламента или ще бъдете задължени да бъдете толкова скоро (веднага щом потребител от ЕС създаде профил на уебсайта на вашия бизнес).

Липса на информация

Даването на съгласие, правото да бъдат забравени и необходимостта от служител по защита на данните (DPO) – това са някои от най-обсъжданите изисквания на GDPR. Това са всъщност ядрото на Регламента. Бизнесът обаче погрешно вярва, че това е всичко, което е небходимо да се стори!

GDPR е дълъг документ с 11 глави и 99 статии. Обхватът на този закон е обширен.

Всичко, от което се нуждаете, е бърз поглед към закона, за да разберете, че има много повече от това, за което обикновено се говори по телевизията, интернт форуми, радиа и други медии. Прехвърляне на данни през границите, съвместни обработващи, разрешаване на спорове и много други теми, за които невъоръженото око не намира информация.

Проблемът е, че има много малко авторитетни източници на информация, които дават пълна картина за Регламента. Резултатът – фирмите идентифицират само аспекти, които са най-важни и най-важни за тях. Докато това е разумна стратегия за започване, тя не служи добре, ако бизнеса не приеме Регламента в цялата му изчерпателност.

Трудности при определяне коя информация представлява „лични данни“

Имайте предвид, че GDPR е по същество продължение на Закона за защита на данните, който вече е в сила в страните от ЕС. Основна промяна е дефиницията за лична идентификация.

Хората използват различни информационни масиви и информационни пътеки във връзка с личните си нужди, докато използват Интернет, и докато взаимодействат с бизнеса, който е дигитално овластен. Следователно „личната информация“ не може да бъде ограничена единствено до IBAN, идентификационни номера, имейли, информация за контакт и т.н., а съгласно новото определение е всяка информация, свързана с физическо лице, което може да бъде идентифицирано.

Бизнесът не разбира, че не може просто да започне да управлява и защитава структурираните данни, за да бъде съвместим с GDPR. Неструктурираните уеб данни също трябва да бъдат обхванати. Публикации в социални медии, потребителски профили на клиентите, IP адреси на устройствата, географско местоположение – цялата тази информация също е лична.

Европейските регулации, отнасящи се до личната информация, са много строги и представляват гръбнака на закона. Без да знае коя информация е „лична“, фирмите не могат да се надяват да я защитят адекватно.

Грешки при създаване на доказателства

Ако сте призовани да обясните как вашият бизнес се занимава с конкретен вид данни? Как го правите? Тежестта на доказване почива на вас, а разходите за неуспех са огромни. Помислете за „принципа за ограничаване на целите“ на Регламента.

Принципът гласи, че всички данни, които събирате от клиент, трябва да се използват само за целите, за които са събрани. Ето защо дружествата трябва да бъдат подготвени да докажат това на регулаторния орган. Това може да стане само чрез проследяване на всички случаи, в които се използват данните, точно от събирането до използването.

Този проблем се простира до почти всеки аспект на GDPR и е един от най-спорните въпроси и за бизнеса. Създаването на доказателства за регулаторите и адвокатите, когато са призовани да направят това, изисква от дружествата да се съсредоточат върху изграждането на тези възможности:

– Внедряване на езера за данни, където организацията е в състояние да съгласува информацията между системите и процесите.
– Установяване на точни връзки между източниците на данни за проследяване на потока от данни.
– Създаване на силни одитни практики за проследяване на данните.
– Изграждане на стабилни процеси за обмен на данни със съответните вътрешни и външни заинтересовани страни.

Неъвзможност за изтриване на лични данни

„Правото да бъдеш забравен“, важна точка от Регламента, изисква от дружествата да могат напълно да изтрият всички основни данни за клиентите.

Това очевидно се различава от традиционните стратегии за архивиране на данни, приети от бизнеса. Това създава големи предизвикателства пред дружествата, някои от които дори не са в състояние да разберат истинските последици от това задължение.

Дните, когато можете да изтриете част от информацията на потребителя и безстрашно да използвате информацията си за контакт, за да изпращате маркетингови съобщения, са свършили. След като клиент поиска от фирмата да изтрие информацията си, всеки запис на главни данни трябва да изчезне от файловете на компанията, стига това да не противоречи на законови изисквания.

Така че фирмите трябва да изграждат методи за обвързване на записите на основните данни и да съхраняват доказателства за всичко, което правят, за да изтрият информацията.

GDPR е тук, за да остане. В крайна сметка, това би помогнало на бизнеса да приспособи своите процеси за цифрова сигурност до корпоративния клас.

Също така, преди органите на ЕС да започнат да приемат строга нетърпимост към несъответстващи на бизнеса дружества, е задължително да разберете общите грешки при внедряване на  GDPR и да знаете как да ги коригирате.