Какво е ОРЗД/GDPR или план за действие в три основни стъпки

Сподели в социалните мрежи

0%

Дори и все още да не сте чували за ОРЗД/GDPR (Общ регламент за защита на личните данни/General data protection regulation), той е в сила на територията на целия Европейския съюз. От 25 май 2018 г. ще влязат в сила и санкциите, свързани с въвеждането му.

Ние в Грайнд Уеб Студио, знаем колко е важна сигурността на личните данни на нашите потребители. Затова отделихме време да се запознаем подробно с новите промени, които ще настъпят с въвеждането на Регламента. Посъветвахме се с компетентни специалисти от адвокатско дружество, за да сме сигурни, че ще бъдем максимално подготвени. Искаме да споделим с вас нашия план за адаптиране в три основни стъпки. Но преди това, нека първо уточним какво всъщност е ОРЗД/GDPR и как той ще се отрази на европейските компании.

Новите изисквания буквално чукат на вратата на европейския бизнес. Проучванията показват, че повечето компании не са подготвени и дори не знаят какво представлява. Съветваме ви да не бързате да заявите, че фирмата ви не е регистратор на лични данни и това не ви засяга. Новият регламент разширява понятието лични данни (ЛД). Той включва всяка информация, която може да идентифицира човек чрез религиозна принадлежност, физически особености, произход, роднини, членство в партия или организация, месторабота, здравословно състояние и др.

За всички ли ще се отнасят тези промени?

Всъщност почти не съществува бранш в ЕС, който няма да бъде засегнат от тези промени (както B2B, така и B2C компании). Ако се занимавате с онлайн търговия, вие оперирате с лични данни на клиентите си, свързани с адрес, контакти, банкови карти, история на пазаруване и др. Ако предлагате финансови услуги, вие разполагате с информация за доходи, кредитна история, ипотеки, собственост на имоти. Ако развивате дейност в сферата на здравеопазването, вие боравите с лични данни като здравна история, изследвания, медицински картон и др. Ако дейността ви е свързана с телекомуникации например, вие имате информация за геолокация, потребление на данни, хронология на обажданията на вашите клиенти. Дори тези от вас, които притежават автосервиз обработват данни като регистрационен номер на автомобила, талон, номер на рама и др. Все лични данни на физическото лице, с каквито всяка една компания оперира.

„Макар ОРЗД да предвижда отпадане на познатия общ регистрационен механизъм по отношение на администраторите на лични данни, въведеният принцип на отчетността съдържа много сериозни отговорности за администраторите. Фокусът е изместен от формалната процедура на първоначалната регистрация, към динамичен контрол на действително осъществяваната дейност по администрирането на личните данни и активната реакция на потребителски искания и жалби. Влизането в сила на Регламента ще постави пред онлайн търговията множество практически въпроси. Като оценка на събираните от тях данни, алгоритъма на тяхното обработване и съхранение, техническата и организационна готовност да спазят изискванията на Регламента за предоставяне на отчет, на известяване на потребителите за нарушения по повод на интегритета на личните данни и други задължения. По повод които една бек-енд система за мениджмънт на процесите и данните би била в огромна полза на задължените лица“ – коментира адв. Ирина Константинова, адвокат от екипа на Адвокатско дружество Русков.

Последици:

Може би много от вас вече си задават въпроса “Какви ще бъдат последиците при неспазване на ОРЗД? ”. Глоба до 20 млн. евро или до 4% от общия оборот заплашва компаниите в Европейския съюз, които не отговарят на новите изисквания. Звучи страшно нали? Не изпадайте в паника, това няма да помогне. Но и не отлагайте твърде дълго да се адаптирате. Регламентът влиза в сила съвсем скоро, затова ви предлагаме план за действие в три лесни стъпки, които ще са ви полезни:

Първи етап: Аналитичен

Запознайте се с ОРЗД и анализирайте информацията, с която боравите

Първото нещо, което трябва да направите е да сe запознаете с нормативната уредба и новите изисквания, за да сте наясно с реформите. След това анализирайте вида и обема на личната информация, която притежавате. Преди всичко, важно е да си отговорете на два въпроса: с каква цел събирате данни и дали не събирате данни, които не са ви необходими. Отговорите на тези два въпроса ще ви дадат ясна представа в каква посока да насочите усилията си, за да се адаптирате.

Не забравяйте да оцените целия процес на събиране, обработване и съхраняване на лични данни във вашата организация до този момент. Кои са трудностите, с които сте се сблъсквали. Много е важно да анализирате риска за съхраняваната информация. Помислете как да го сведете до минимум, за да сте сигурни, че отговаряте на промените на ОРЗД.

Втори етап: Организационен

Преструктурирайте работата с ЛД

От 25 май 2018г. следва да обърнете повече внимание на съхранението на лични данни на потребителите. Ще трябва да разписвате всички процедури, свързани с тях и тяхното използване. Преценете дали да назначите Длъжностно лице по защита на данните (ДЛЗД). Това ще бъде задължително само при компании, които оперират с лични данни на физически лица в голям мащаб или обработват чувствителни данни (свързани със здравеопазване, образование и др.). Ако вашата компания не е достатъчно запозната с новите промени, вие можете да назначите ДЛЗД или да възложите тази функция на компетентна фирма.

Обърнете специално внимание на потребителите си, изградете доверие, информирайте ги за начините, по които съхранявате техните ЛД. Съдействайте им при възникнал проблем, за да се чувстват защитени, използвайки вашите услуги. Още една промяна навлиза с новия регламент, според която ще трябва да осигурите на всеки потребител правото „Да бъде забравен“. Право, при което всяко физическо лице ще има възможност да подаде заявление, чрез което личните му данни да бъдат забравени от определена компания. Уверете се, че имате възможност да осигурите на вашите потребители това право по всяко едно време.

Трети етап: Технологичен

Преобразете вашата компания технологично

Изберете надежден софтуер, сигурна CRM система, облачни услуги. Доверете се на доказани и компетентни професионалисти. Ако е необходимо, обновете вашия уеб сайт, така че да е сигурен и да отговаря на новите изисквания.

Според новите правила на ОРЗД, всеки уеб сайт, който използва „бисквитки“, трябва да информира потребителите за това. Те от своя страна трябва изрично да се съгласят, че „бисквитки“ могат да бъдат инсталирани. Трябва да ограничите максимално връзката между личните данни и потребителския профил. Или казано по друг начин, намалете драстично идентифицирания риск чрез псевдонимизация. Профилирането ще бъде възможно само след съгласие като всеки потребител винаги трябва да има опция да не приеме “бисквитки” на мобилните си устройства.

GDPR ще се отрази пряко и на онлайн търговията в ЕС. Онлайн магазините ще трябва подробно да опишат в общите условия за ползване на уеб сайта с каква цел събират, обработват и съхраняват лични данни. С цел ремаркетинг, изготвяне на потребителски профил или за предоставяне на трети лица – партньори като куриерски фирми например и др.

Privacy by Design

До 25 май 2018г. компаниите в ЕС би следвало да са достатъчно наясно с промените, които въвежда новият регламент за защита на личните данни на потребителите. Те трябва да са предприели необходимите действия. Това може лесно да бъде постигнато още при създаването на софтуер или така наречения Privacy by Design. Всеки софтуер ще се изработва, така че да защитава в максимална степен данните на физическите лица. Тази лична информация ще може да се използва само за конкретни цели.

CRM системите

Ако компаниите искат да защитят максимално личните данни на потребителите си, следва да ги криптират и да предоставят достъп до тях само на оторизирани лица. От тях ще се изисква също да гарантират на клиентите си, че CRM системите, които предлагат, отговарят на промените на новия регламент. В този ред на мисли, ние смятаме, че CRM системите ще намират приложение във все повече европейски фирми като сигурно средство за съхранение на данни.

GDPR е една от най-важните реформи в ЕС. Като основната цел е да изгради по-голям контрол върху персоналната информация като предостави единен подход за неприкосновеност на данните. Много от българските компании все още не са наясно с промените, които ще настъпят с въвеждането на Регламента, а крайният срок наближава. Ние знаем, че подготовката за новия регламент ще представлява един дълъг процес. Процес, който ще изисква да обърнете повече внимание на съхранението на личните данни. Но вярваме, че ако следвате нашите три основни стъпки, ще успеете бързо и лесно да осъвремените своите методи, по които събирате, обработвате и съхранявате лична информация. И не забравяйте, че сигурността на потребителите ви винаги трябва да е начело във вашия списък. Вие трябва да направите всичко възможно, за да им я осигурите.

Ако имате допълнителни въпроси или коментари, ще се радваме да ни пишете на e-mail info@grindwebstudio.com.