Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Актуални проекти
бр. 5, 2018

GFK се готви за GDPR от юни

от , 29 май 2018 0 2582 прочитания,

Виргиния Стаматова

Глобално изследване на Clearswift, проведено в Германия, Съединените щати и Великобритания, сочи, че средното управленско ниво и висшият мениджмънт имат различна представа за това доколко дружествата, които ръководят, са готови за GDPR. Според данни, оповестени през април, 21 процента от шефовете на отдели са на мнение, че са изпълнили разпоредбите на регламента, а 41 на сто от членовете на управителното тяло считат, че компаниите им са готови за новата регулация. Разминаването според изследователите идва от това, че членовете на борда, след като имат стратегия, считат въпроса за решен, а оперативните ръководители са доста по-буквални в оценките си и отчитат задачата едва когато я приключат. Друг е въпросът дали един проект по GDPR може да се счита някога за приключил - както ще видим по-надолу, това не е възможно.

За България не могат да се намерят точни данни, но няма да е твърде смело, ако предположим, че големите международни компании вече са тръгнали в посоката "съответствие" с регламента.

Както при повечето дейности, които се правят за първи път, най-трудно се оказва началото. Иначе казано - къде е най-големият риск за сигурността на данните - в имейла, в интернет приложенията или в лаптопите и работните станции? И къде има най-много лични данни - в човешките ресурси, маркетинга или отдел продажби? Откъдето и да започнете, е добре да го направите, защото регламентът и свързаните с него сериозни глоби влизат в сила в края на май.

GFK се готви за GDPR от юни

Запознаването с GDPR в GFK започва в началото на 2017

Международната компания за пазарни анализи GFK от доста време се занимава с регламента, сподели за списание CIO Борис Йоцов, експерт по информационна архитектура и сигурност за Централна и Източна Европа. Преди групата да започне подготовката си за въвеждане на изискванията на GDPR, се провеждат срещи с цел запознаване на отделите с предвиденото в регламента. Първоначално се подготвят препоръки за отдела по човешките ресурси, но след това става ясно, че регулацията има много по-широк обхват.

Йоцов, който първоначално е ръководител на проекта в местното дружество, разказва, че работата по въвеждане на GDPR започва през юли миналата година. Провеждат се виртуални срещи между екипите, работещи по въвеждането на регламента в отделните дружества на компанията, на които се обсъжда какво трябва да се направи, за да се изпълнят разпоредбите, и как дейностите ще протекат във времето, както и кои са предизвикателствата.

Минава известно време, докато глобалният екип се запознае със съдържанието на регламента, като успоредно с това текат консултации с външна компания.

Въпроси и отговори

С времето се изчистват и отговорите на основните въпроси, задавани от участниците във виртуалния екип на GFK, работещ по въвеждането на GDPR. "Това ставаше стъпка по стъпка, защото нямаше еднозначни отговори на въпросите, които задавахме, и те трябваше да бъдат отнасяни към консултанта в Германия", спомня си Борис Йоцов. По думите му първоначално проектът е отнесен към сферата на информационната сигурност, но впоследствие поради големия обем и всеобхватността става ясно, че трябва да се привлекат и специалисти от други звена.

Една от най-големите трудности за бизнеса е свързана с "правото да бъдеш забравен", тъй като обикновено компаниите не знаят къде се намира чувствителната информация, най-вече тази, която е извън базата с данни и имейла. Първата крачка е одит на информацията на всеки отдел в компанията на глобално ниво, като за целта е изпратен въпросник, а идеята е да се установи дали се работи с лични данни и да се направят нужните предписания.

Регистър на процесите

След като се установява къде какви данни се обработват, се създава регистър, в който се описват всички процеси, които даден отдел извършва при работата си с лични данни. "Ако впоследствие по силата на "правото да бъдеш забравен", което се въвежда с регламента, някой от анкетираните поиска данните му да бъдат изтрити, трябва да се направи така.,че те да бъдат анонимизирани (тъй като няма как да бъдат изтрити)." След създаването на списъка са идентифицирани местата, където се съхранява персонална информация. "Регистърът на процесите не предполага кой знае какви технологии, даже напротив: това е една елементарна база данни на Access, но същото нещо може да се направи и в Excel", категоричен е Йоцов.

Борис Йоцов

Тя представлява нещо като пътна карта на личните данни в компанията. "Интервюираме даден човек през интернет и получаваме анкетна карта, която съдържа лични данни. Те се съхраняват на еди-кой си сървър и се обработват от дадена програма", спомня си Йоцов. По такъв начин компанията знае къде са данните, какъв е процесът и ако се стигне до проверка, регистърът на процесите ще укаже местонахождението им в информационната система на компанията, както и софтуера, с който се обработват. "След това се прави елементарно описание на всеки процес и какво се случва, когато се изпълни", пояснява още експертът.

Рейтинг на сигурността на приложенията

Съставен е и рейтинг на сигурността на всяка програма, която обработва лични данни, като за целта се използва въпросник, съдържаш около 100 положения, например: дали съответното приложение се вижда в интернет, каква е защитата му; или ако не се вижда в интернет, а е на даден сървър, дали устройството има антивирусна програма и firewall.

"На всяка програма отново имаме база с данни, където този рейтинг на сигурността се прикача и при нужда винаги може да бъде показан", разказва Йоцов.

По думите му нещата при всяка компания биха могли да се подредят по аналогичен начин. "Специфичното при GFK е, че работи с много лични данни. Затова на глобално ниво беше разработен шаблон какви точно лични данни да съдържат анкетните карти, включва и поле с уведомление за коя компания се прави проучването." Това е една от новостите, която до момента не е била споделяна с участниците в проучванията, за да не се влияят отговорите им от името на поръчителя на изследването. Подготвено е и известие на уеб страницата, което се изисква от регламента. После всеки отдел започва да сравнява документите, с които работи, с преведения на български шаблон.

GFK се готви за GDPR от юни
Ролята на консултантите

Йоцов създава план какво трябва да се предприеме от гледна точка на информационната сигурност, но препоръчва и местното дружество да си наеме външен консултант, за да има увереност, че са спазени предписанията на регулацията. "Това се наложи, тъй като ние нямаме юристи във фирмата и никой от нас не е специалист в тази област", допълва той. Изборът на юридически консултант се случва към края на 2017, като след това Йоцов излиза от проекта. "Реално съответствието с GDPR е проект на бизнеса. Информационната сигурност е част от него", категоричен е експертът и допълва: "От семинарите, на които присъствах, разбрах, че проектът по съответствие с GDPR няма край, буквално. Причините са две: първо, самата регулация е много обща. Има части, за които питахме какво означават, а отговорът, който получихме, е "регламентът е много общ - от една страна, може да се тълкува по един начин, но може и по напълно различен", допълва експертът и препоръчва: "Когато описвате нещата, напишете ги най-общо какво представлява процесът. Това не може да бъде направено в детайли за цялата компания, защото е колосален труд. Следващата причина, поради която GDPR проектът няма край, е свързана с това, че компаниите се развиват и постоянно идват нови процеси, следователно към вече направеното ще трябва непрекъснато да се правят допълнения."

Какво ще се промени след 25 май

На пръв поглед - твърде малко неща. В централата на GFK не се опасяват от проверка от контролните органи, а най-лошият сценарий, който предвиждат, е, ако някой нарочно търси двусмислени положения в регламента, за да осъди една от големите компании. Почти всеки ден медиите публикуват новини за изтичане на данни. Големият въпрос е кой ще послужи за пример за евентуалното поведение на регулатора след влизането в сила на регламента. Но голямата промяна, която идва по линията на GDPR, не е заради глобите, а за да се увеличи доверието в отговорния онлайн бизнес, защото европейските граждани ще са склонни да поверят данните си там, където те ще бъдат правилно съхранявани.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов