Какво се случва повече от година след влизането в действие на GDPR?
Отговори на експерти от Асоциация за защита на личните данни *
Ако трябва да обобщим ситуацията, по-често се наблюдава нагласа в компаниите да спазват регулацията, но все още трябва да се полагат усилия откъм експертизата на служителите и разбирането на проблематиката от страна на висшия мениджмънт.
Широко разпространено е схващането, че постигането на съответствие с регламента е еднократен акт - създават се едни политики и процедури, които се прибират в една папка и с това компанията смята, че е изпълнила изискванията на закона. В действителност това е непрекъснат процес, който трябва да се интегрира в дейността й. И да, ще коства усилия и ресурс, но те ще се отплатят. Компаниите, които нямат това разбиране, а действат ad hoc, случай по случай, често допускат грешки и се излагат на рискове.
В цяла Европа, в това число и в България, вече има популярни казуси, някои от които с рекордни глоби по GDPR, достигащи десетки милиони. Според нас обаче глобите са само един от рисковете и в никакъв случай най-големият. Потенциалната загуба на доверие, която компаниите могат да претърпят, е нещо далеч по-страшно. Всеки, който управлява бизнес, знае каква е цената на това да успееш да станеш предпочитан от хората избор.
За радост, все по-често в практиката си виждаме компании, които искат да правят нещата отговорно и правилно. Това роди и идеята ни за създаването на корпоративна общност от такива компании (https://mydata.bg/korporativna-obshtnost/).
КАКВА Е РОЛЯТА НА ВИСШИЯ МЕНИДЖМЪНТ В ТОЗИ ПРОЦЕС?
Там, където разбирането на висшето ръководство за важността на въпроса е ниско, рискът GDPR да не бъде приложен правилно от компанията и да остане неразбран от служителите е висок.
Ние съдействаме както на частния, така и на публичния сектор, и там, където управителят, директорът, кметът, т.е. висшият ръководител на дадена структура, е задал пътя правилно, регулации като GDPR могат да бъдат и много полезни. Те могат да станат основата за оптимизиране на съществуващите процеси, както и за преглед и подобряване на отношенията с доставчиците на използваните външни услуги.
Факт е, че всеобхватни регулации като GDPR стават допълнително бреме за бизнеса, защото той невинаги разполага с вътрешни, подготвени експерти. Затова стратегията на мениджмънта към решаването на този въпрос в много голяма степен предопределя и успеха.
В нашата практика срещаме компании, които имат вътрешен екип, но, независимо от това, по важни въпроси търсят второ мнение от наш експерт. Има и такива, които предпочитат вътрешните служители да бъдат минимално ангажирани с GDPR и изцяло са аутсорснали тази дейност към нас. Тоест всяка компания избира кое е най-подходящото решение за нея и това решение е на висшия мениджмънт.
Наскоро медиите отразиха проблем в системата за кандидатстване в училищата на територията на една община в България. Както често става в подобни случаи - вината се търсеше някъде другаде. Макар да разполагаме само с публично известните детайли по случая, считаме за недопустимо да се излагат на риск данни на деца, а ръководството да не си дава сметка, че именно то има главна роля и задължение по закон да опази данните, независимо от това, че ползва чужда система.
С други думи, все още има празнини в разбирането на смисъла и философията на регламента от отговорните лица.
ПОЯВИ СЕ И ЦЯЛА НОВА ПРОФЕСИЯ - "ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ". КАКВИ ТОЧНО СА ТЕЗИ ЕКСПЕРТИ?
Тази длъжност остава все още недостатъчно разбрана. Част от компаниите възлагат функцията на ДЛЗД на юриста, счетоводителя, специалиста по човешки ресурси и т.н., колкото да покажат, че такова лице е назначено. Без реално да му съдействат и да подпомагат избрания служител да бъде подготвен да изпълнява задълженията си.
Отговорността отново е на висшия мениджмънт и ако той е избрал неправилен експерт или не го развива, от това ще загуби компанията. Ако пък се прецени, че това е бюджетно необосновано, по-добре да се аутсорсне длъжността към подготвени експерти в областта, отколко да се предприеме проформа назначаване. Недостатъчно добре подготвеният служител може да струва скъпо.
КАКВО ОЗНАЧАВА ДА СИ ВЪНШЕН DPO (ДЛЗД) ЗА ЕДНА КОМПАНИЯ?
Външният DPO (Data protection officer) трябва да има дълбоки експертни познания по специфичната материя, както и да разбира спецификите на дадената компания, за която ще работи. Да може да предлага креативни решения и да ги комуникира добре. Това често изисква търпение в големи дози и способности да се водят преговори.
Много от казусите, по които работим, се решават в резултат на задълбочени проучвания на екип от експерти. Така стигаме до най-правилното решение за конкретната ситуация. Един добър DPO не трябва да е блокиращ за бизнес процесите, а да помага те да са в съответствие с регламента. Най-лесно е да се каже на компанията: "Това не може, защото не отговаря на GDPR." А всъщност целта е ги посъветваш как да променят процеса, така че всичко да е по правилата, и самото събиране на данни да носи полза на организацията.
Друг сложен момент на този етап е уреждането на взаимоотношенията с третите лица, най-често с обработващите лични данни. Едните не искат да поемат никакви отговорности, другите обратно – искат да прехвърлят всичко в отговорност на другия.
В практиката си срещаме жестоки изисквания, които някои от по-големите компании налагат на подизпълнителите си. В някои от случаите това води до изцяло ненужни разходи за малкия бизнес, още повече, че не отговаря на смисъла и философията на GDPR.
Тук е именно ролята на едно добро DPO – да познава добре законодателството, да умее да прави анализи и обосновано, при отчитане на риска, да съветва компанията да вземе едно или друго решение. Точно тази обоснованост на решенията ще има ключова роля при доказване на спазването на изискванията на GDPR в случай на необходимост.
ЗАЩО ОТ АСОЦИАЦИЯТА РЕШИХТЕ ДА ПРЕДОСТАВЯТЕ АУТСОРС УСЛУГИ?
Целта на Асоциацията е не само да бъдат по-добре защитени физическите лица и техните данни, но и да бъдем полезни на бизнеса с опита и знанията, които имаме.
С нашата работа успяваме да обединим различни експерти. Към Асоциацията се присъединиха професионалисти, които имат опит както в частния, така и в публичния сектор, като така експертизата ни вече се простира отвъд специализираната "GDPR-ска" подготовка.
Работата ни, включително чрез партньорството ни с БТПП, през последните две години дава много добри резултати. Разпознаваеми сме като експертна организация, включително от страна на ключови институции. Чрез нашата дейност подпомагаме и сме активни участници в лекции, семинари, форуми, в законодателния процес.
В този период все повече компании започнаха да се обръщат към нас за съдействие, а аутсорсването позволява различни, гъвкави форми на взаимодействие. Могат да бъдат аутсорснати само проверките или обученията, или само оценките, и това е много удачен вариант за някои компании.
Всичко изброено доведе до логичната стъпка - започнахме да предлагаме решения за бизнеса под формата на аутсорсване на дейности в областта на защитата на личните данни (https://mydata.bg/konsultatsii-i-dpo-autsors/)
КАКВА Е РОЛЯТА НА ДРУГИТЕ СЛУЖИТЕЛИ, СЛЕД АУТСОРСВАНЕТО НА ДЕЙНОСТТА?
Служителите са и си остават най-уязвимото място на компанията. Редица международни изследвания сочат, че голяма част от пробивите в сигурността или нарушенията на законодателството се дължат на незнание или невнимание от страна на служителите.
Като резултат от съвместната ни работа с дадена компания, освен спокойствието на висшия мениджмънт, ние винаги търсим и повишаване нивото на осведоменост на самите служители. Опитваме се да го правим по лесен, неангажиращ за тях начин. Само когато служителите започнат да имат необходимата чувствителност по тези въпроси сме сигурни, че сме свършили добре работата.
------------------
* Юлия Пригонча – DPO и сертифициран от IAPP мениджър по въвеждане на програми за защита на личните данни, и
адв. Деница Люнчева –дългогодишен правен експерт по въпроси, свързани със защитата на личните данни, включително и Главен юрисконсулт към Министъра на вътрешните работи
Статията е публикувана в Дневник, 06 ноември 2019 г.
