GAP анализът е задължителен елемент при въвеждането на GDPR във фирмените политики ВИДЕО

Фирмените политики на компаниите изискват промени спрямо новия Регламент за защита на личните данни (GDPR). Този процес включва изготвянето на вътрешни правила за ползване на лични данни, актуализирането на сайтовете за електронна търговия, съгласието на физически лица за предоставяне на лични данни и още много други важни детайли.

След подробно представяне на изискванията на регламента по време на семинарите, свързани с въвеждането на GDPR, адв. Асен Велинов участва в няколкочасови дискусии със задаване на въпроси, свързани с разновидностите при въвеждане на регламента: Какви са разликите при малки и големи фирми? Кои компании и организации не се нуждаят от допълнително съгласие за използване на личните данни? Как протича целият процес по въвеждане на GDPR? Това са само част от въпросите, които вълнуват компаниите, обработващи лични данни, а отговорите дава адв. Велинов в специално интервю.

Много хора слагат на сайта си „Политики“. Това достатъчно ли е?

Ако политиките са направени вследствие на GAP анализ и тогава са качени на сайта – да, в такъв случай е достатъчно. Тогава съответният потребител трябва да бъде запознат с тях – трябва да има определено място, в което да отбележи, че е запознат с тези политики, особено ако става въпрос за електронна търговия. Тогава обикновено се изисква физическото лице да бъде регистрирано и да се съгласи с политиките за защита на личните данни.

Задължително ли е да се обърнем към адвокат за изготвянето на фирмените политики?

Освен адвокати, има и консултанти, които са квалифицирани за това. Но едно правило важи винаги – лицето, което изготвя политиките, трябва на първо място да направи GAP анализ на пътеките, по които влизат лични данни. Въз основа на тази информация се прави пътна карта – политики, вътрешни правила, готови декларации, които да предоставят на всяко физическо лице, даващо данните си, възможността те да бъдат заличени и то да поиска това, разбира се, при определени предпоставки и условия. Мога да дам пример с трудовите договори – не може бивш служител да поиска заличаване на личните си данни, защото има законово основание, което задължава работодателя да пази ведомостите в продължение на 50 години. Очевидно имаме законово основание с по-висока степен от желанието на служителя да бъде „забравен“.

Колко време отнема изготвянето на GAP анализ?

Любимият отговор на адвокатите – „зависи“, важи и тук. Зависи от големината на структурата, юридическото лице - администратор на лични данни. Също от това, по какви пътища влизат личните данни, кой има достъп до тях, къде се съхраняват, какви са нивата на достъп, кой има право да ги променя, кога трябва да бъдат заличени. Цялата тази палитра от права трябва да бъде описана в политиките и във вътрешните правила за защита на личните данни. Признавам, че съм виждал готови политики, които се продават. Това ме навежда на въпроса как тези политики отразяват реалната ситуация в конкретната фирма. Ако, например, в политиките е записано, че по граждански договори се случват определени действия, как тази част засяга фирма, която не сключва граждански договори? Или обратно – ако политиките не обхващат граждански договори, а фирмата работи с такива? Очевидно има път, по който във фирмата влизат лични данни, но в тези случаи няма процедура, по която е записано, как тези лични данни биват защитавани.

Какво представлява GAP анализът? Какво включва целият процес по въвеждането на регламента за защита на личните данни във фирмените политики?

GAP анализът се разделя на две части – GAP анализ на бизнес процесите вътре в съответния администратор на лични данни и GAP анализ на ИТ процесите, т.е. на всичко, което се случва в електронната среда. Работим с няколко партньорски организации, които разбират от GAP анализ на ИТ процесите. Работим съвместно, като първо се извършва анализ на ИТ частта, за да може след това да се анализира пътят на бизнес процесите, по който всъщност влизат личните данни, местата, където се съхраняват те, достъпите до тях – кой има право да ги обработва и заличава. След като имаме анализ на ИТ частта, правим GAP анализ на бизнес частта. Следва изготвянето на доклад, който обобщава цялата събрана информация. С него ние съобщаваме на управителите на фирмите или на тяхното разширено ръководство какво се случва към момента в техните организации – по какви пътища влизат личните данни, къде се съхраняват, кой има достъп до тях. В този доклад даваме още съответните препоръки към администратора на лични данни, какво трябва да се промени и в какъв вид, така че да отговаря на изискванията на GDPR. След това обсъждаме препоръките със съответното ръководство, какво те могат да изпълнят сами и за какво биха имали нужда от допълнителни съвети и помощ. Много често се случва така, че фирмите нямат добри защити и колегите от ИТ компаниите предоставят съответните програми, понякога се налага и закупуването на нова техника.

След като обсъдим, какви мерки трябва да бъдат предприети във връзка с препоръките, които сме дали, преминаваме към фактическото въвеждане на защитата на личните данни, което означава съставяне на съответните документи – правила, политики, декларации, за да могат физическите лица по-лесно да упражняват правата си. Когато приключим с въвеждане на документацията, започваме обучението на съответните служители, които работят с лични данни, имат достъп до тях, съхраняват ги и са част от всеки един процес по работата с лични данни. След това обучение включваме съответните нови задължения в длъжностните характеристики на същите тези хора, защото защитата на личните данни спрямо GDPR трябва да бъде изпълнявана от тях и спрямо трудовия им договор.

Едва тогава преминаваме към следващия етап – започваме да подписваме споразумения, когато се изискват такива, с обработващите лични данни, например счетводната фирма или друго юридическо лице, на което се предоставят лични данни под формата на информация, която се трансферира между двамата администратори на лични данни. След изготвянето на такива споразумения, когато и където са необходими, смятаме, че нашата работа е приключила. Оставаме с уговорката, че ако влизайки в сила законът даде различно тълкуване на част от разпоредбите на регламента или има различни изисквания, ние ще съобразим всички тези изисквания с въведените политики за защита на личните данни с тях.

С какви фирми работите - малки, големи, в определена сфера на дейност?

Палитрата е доста разнообразна – от чисто консултантски фирми, през такива, които имат електронни магазини, до фирми в сферата на търговията, включително работим с болници, където задължително се изисква т.нар. „офицер по защита на личните данни“ или DPO. Сферата ни на дейност е доста обширна, така че всеки, който има нужда от въвеждане на регламента за защита на личните данни в своя бизнес, може да ни потърси.