С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Регистрация
1 6 апр 2018, 13:18, 5535 прочитания

Без паника

Какво трябва да знае всеки бизнес за личните данни преди 25 май

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
- На първо четене регулацията изглежда като огромна купчина от изисквания, задължения и санкции, но в действителност това не е съвсем така.

- Всяка организация може да се справи и сама в новите правила, подобно на спазването на данъчното, осигурителното или друго законодателство.

- Важно е фирмите да вложат защитата на данни в начина си на мислене и бизнес процесите.

Още по темата

GDPR-калипсис

Въпроси и отговори за новата регулация за защита на личните данни

24 май 2018

GDPR в 10 стъпки

Пълен списък за подготовка на бизнеса преди въвеждането на новата регулация за защита на личните данни

6 апр 2018

Новият щит за лични данни на колекторските компании

Индустрията инвестира в ИТ системи, нови служители и въвеждане на различни нива на достъп до информацията

6 апр 2018

Венцислав Караджов: Прилагането на GDPR започва с анализ на бизнес процесите

Венцислав Караджов, председател на Комисията за защита на личните данни пред "Капитал"

6 апр 2018

След края на данните

GDPR ще доведе до промени в това как се обработват и унищожават личните данни на клиентите

6 апр 2018

GDPR - въпроси и отговори

Какво трябва да знаят фирмите за новия регламент за личните данни

29 мар 2018

Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

Ако прекараме новата регулация за защита на личните данни през буквалния поглед на сухата статистика, ситуацията може да изглежда стряскаща: около 33% от всички компании в България ще трябва да променят част от бизнес процесите си и имат за това по-малко от два месеца. GDPR влиза в сила на 25 май, a според Комисията за защита на личните данни правилата ще засегнат общо над 45 хиляди фирми в България.

На първо четене регулацията изглежда като огромна купчина от изисквания, задължения и санкции, които се отнасят до почти всеки бизнес с някаква форма на дигитализация на процесите, а и повечето фирми, които още разчитат на хартиени документи. За много собственици на малки и средни бизнеси правилата може да се струват твърде изискващи. Още повече несигурност идва от факта, че Европейската комисия е оставила част от детайлите около правилата и санкциите за доуточняване от държавите. България все още не е показала убедително, че разсъждава по този въпрос.

Има обаче и много по-позитивен поглед към GDPR - само трябва да вникнем в смисъла на регулацията. За последното десетилетие т.нар. Big Data (анализът на големи масиви с данни) се превърна в мантра, която трябваше да донесе невиждани възможности за развитие на бизнеса. Но за правото на контрол на хората върху този процес, който позволяваше използване на данните им, се говореше малко. Сега ЕС се опитва да коригира грешката. GDPR е създадена, за да защити и овласти хората - интернет потребителите пред собствениците на уебсайтове, социални мрежи и онлайн магазини, служителите на фирми пред техните работодатели, клиентите пред банки, телекоми, застрахователи и други фирми, гражданите пред институциите, пациентите пред здравните и фармацевтичните компании и така нататък. Личните данни са валутата на сегашния цифров пазар и като всяка валута имат нужда от стабилност и доверие, коментира преди време бившият комисар по информационното общество и медиите Вивиан Рединг.

За България важи и друга гледна точка. Много бизнеси например пазят лична информация много след като тя им е нужна, "защото винаги така са правили" или "защото може да потрябва", обяснява ръководителят "Риск мениджмънт" в "Телелинк" Петър Кирков. Пример за това са отделите по "Човешки ресурси", в които често ще намерите молби за отпуски, болнични, данни за семеен статус и деца на отдавна напуснали служители. Това трябва да спре. GDPR казва, че данни се обработват само с ясна цел и за ясен срок. "Ефектът обикновено е много положителен за цялата фирма - може да си изчисти начина на работа, оптимизира нещата, които съхранява. Това води до намаляване на разходите", смята Кирков.



Наближаването на новите правила може да се разгледа като възможност: напрежението от задаващия се краен срок може да мотивира бизнеса да изчисти и рационализира решенията, да помогне за задаването на приоритети и да остави по-маловажните процеси на заден план. А и "светът няма да свърши на 25 май", припомня Петър Кирков. Важното е фирмите да вложат защитата на данни в начина си на мислене и бизнес процесите. След GDPR подобно законодателство в полза на физическите лица се обмисля в Азия, Южна Америка и Австралия. По-високото ниво на защита вероятно ще стане норма за всеки бизнес навсякъде по света. Но през какви конкретни стъпки трябва да мине всяка фирма, за да влезе в съответствие с тях?

Контекстът

Много от правилата на GDPR по-нищо не се различават от сегашния Закон за защита на личните данни. И в момента например всеки има право да отиде в дадена фирма и да попита каква информация за него се съхранява там. Но в много случаи бизнесите не познават това законодателство или не го спазват. Паниката около GDPR, в която са изпаднали някои бизнеси, е причинена от два фактора - отлагането до последния момент и (евентуалната) заплаха от по-сериозни от досегашните глоби. Не помага и фактът, че новата регулация отвори бизнес ниша за много юридически, ИТ и консултантски компании, не всяка от които все още предлага достатъчно смислен продукт.

Всяка организация може да се справи и сама, подобно на спазването на данъчното, осигурителното или друго законодателство. Външна фирма или консултант може да помогне, но отговорността за съответствие с GDPR не се прехвърля към него, напомня Петър Кирков. Няма как външен човек да познава бизнес процесите по-добре от служителите на самата фирма, а и няма технология, която магически да приведе цяла организация в съответствие с новите правила с натискането на едно копче. "Съответствието се обуславя от три неща: хора, бизнес процеси и технология. Крайният резултат може да бъде постигнат и само с две от тях - например някои фирми още водят счетоводство само на хартия и дали ще има счетоводен софтуер е въпрос на бизнес процес", казва Кирков. По същия начин спазването на GDPR може да бъде организирано само с вътрешна организация и обучение на хора. "Ако всички данни са на хартия, какъв е смисълът да се въвежда софтуер за защита на данните", напомня директорът "Риск мениджмънт" в "Телелинк".

Регламентът е написан много общо, а липсата на тълкувание плаши много собственици и мениджъри на компании. Това е логично, защото правилата трябва да бъдат приложими за всички бизнеси в Европа и тези от глобалните компании, които обслужват европейски клиенти. При това положение, както с всеки закон, няма как нормите да бъдат напълно прецизни. Уточняването на някои детайли може да дойде от браншовите организации, които да приемат стандарти и добри практики за различните индустрии. Повече яснота ще има и с натрупването на съдебна практика.

Принципите

Новата регулация има проста философия. Компаниите и институциите трябва да осмислят многобройните пътища, по които информацията влиза, движи се и излиза от ежедневната им дейност. Данните може да идват от клиенти, служители, бизнес партньори или трети страни. Всеки трябва да изследва какви данни събира, къде ги съхранява, как ги пази, за какво ги използва и кога престава да има нужда от тях. След като се определи информационният отпечатък, трябва да се провери дали навсякъде той съответства с GDPR, а ако има пропуски - да се направи план за попълването им. Накратко процесът изглежда така: "Трябва да осъзнаем къде събираме данни, трябват ли ни всички и да направим план за промените, които може би ще трябва да въведем", обяснява Петър Кирков.

"Много от бизнесите обработват данни, защото така им е по-лесно. В хотелите например често се правят копия от лични карти, за да не се забавя процесът по регистрация. Какво се случва обаче след това с този документ? Служителите на хотела трябва да въведат посетителите в системата на МВР, но за целта не им е нужда информация за местораждането, височината или цвета на очите", дава пример той.

С новата регулация на първо място фирмите ще трябва да събират информация по прозрачен начин и като информират всички засегнати лица за какво ще я използват. GDPR забранява те да злоупотребяват, като събират повече от нужното за бизнеса им. Най-лесното решение е т.нар. защита на данните при проектиране и по подразбиране. "Това значи да мислим за защита на информацията още при създаването на бизнес модели и процеси", обяснява Кирков. Гаранциите за защита на продуктите и услугите трябва да бъдат включени още в първите етапи на разработване.

След 25 май например мобилните оператори няма да имат право да обработват информацията ви за каквато цел си поискат, както са си извоювали чрез досегашните договори в клиенти. Съгласието "по подразбиране" отпада. Вместо това GDPR въвежда принцип на информираност - всеки трябва да бъде ясно и неподвеждащо осведомен какво се случва с данните му, и "минимализация" - фирмите са задължени да обработват минимално количество данни за минималното им нужно време.

Съветите

За много компании GDPR все пак може да означава значителна промяна в процесите. Единственият начин това да се случи успешно е, ако служителите са информирани, обучени и включени в това усилие. Всеки отдел трябва да знае своята отговорност към GDPR.

"GDPR e базиран на оценка на риска. Една фирма трябва да оцени доколко са рискови данните, които обработва, и да ги защити адекватно", обяснява Петър Кирков. "Започнете с оценка на това какво би се случило, ако информацията, която съхранявам, стане публична или изтече към трети лица" допълва той. Няма една методология, която би паснала на всички бизнеси, но съществуват достатъчно публични стандарти и инструменти, от които всеки може да си избере. "От това колко са чувствителни данните и какво ще е въздействието, ако изтекат, трябва да се извади и изводът какви усилия са нужни за защитата им", смята специалистът по информационна сигурност.

Ако става въпрос за данни относно бременност на някой, който работи във фирмата, вероятно тя може да бъде защитена с ограничаване на това кой има достъп до тази информация. Има обаче и случаи, в които рискът е по-голям. От информацията за купени лекарства или от болнични листа лесно могат да се направят сериозни изводи за болестта на човека. В един подобен случай американският актьор Чарли Шийн е изнудван в продължение на години от хора, които по подобен начин разбират, че той е болен от СПИН. Чрез анализ на данните за покупки в супермаркет пък американска компания беше достигнала до извода, че момиче е бременно, преди самото то или семейството му да разбере. Тези случаи носят очевидни щети за отделни личности, които вероятно биха искали данните им да са защитени по-добре.

За целта след оценката на риска идват фокус върху смисъла на регулацията, а не толкова върху конкретните членове и алинеи. Всеки служител, потребител или контрагент трябва да се ползва с еднаква защита. Проверките и балансите трябва да са включени във всяка стъпка от бизнес процеса. За това може да помогне приемането на стратегия или код на поведение на фирмата. Същите изисквания трябва да бъдат приложени и към бизнес партньорите - не е изключено GDPR да развали бизнес отношения или да създаде нови. За целта трябва да знаете каква информация споделяте с трети страни, по какъв повод, имат ли нужда от нея, както и да приложите същата оценка на риска, каквато и към собствената си организация.

Новата регулация предполага и повече мисъл за потребителите. Много компании ще трябва да променят дизайна на маркетинг процесите си. В много случаи това ще означава ново искане на съгласие за обработка на данни. "Това всъщност е възможност да се подобрят отношенията с клиентите. Ако до този момент сте събирали данни без достатъчно информирано съгласие - чудесно, напишете им имейл, в който да обясните за себе си и своя продукт или услуга. Това е нова допирна точка за маркетинга, възможност да се създаде стойност и да се подобри отношението с този клиент, не е задължително страшно", смята Петър Кирков. По думите му повечето хора всъщност са щастливи да дадат данните си, за да получат нещо персонализирано - лична оферта, информация за продукти по свой вкус или размер, напомняне за някой краен срок. С GDPR не идва краят на бизнеса или маркетинга. Всички харесват личното отношение, стига то да е в определени граници.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Крайният срок е
27 май!


Повече подробности на capital.bg/next

Остават броени дни до крайния срок за участие в конкурса за млади бизнес лидери Next Generation 2018!



“Капитал” и “Кариери” търсят активните, вдъхновени и вдъхновяващи мениджъри и предприемачи.

За да разкажем историите им.
И да ги наградим с EMBA стипендии от City College - международния факултет на The University of Sheffield.

Кандидатствай или номинирай Next Generation мениджър или предприемач!


Конкурсът се провежда с подкрепата на Trelleborg.

Прочетете и това

Речник на термините в GDPR 3 Речник на термините в GDPR

6 апр 2018, 3173 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 3359 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
След края на данните

GDPR ще доведе до промени в това как се обработват и унищожават личните данни на клиентите

Възраждането на АЕЦ "Белене"

Дори да има пазарен интерес, България ще се озове с АЕЦ, върху който няма контрол и за чийто риск плаща

Когато проблемите миришат

Екологичните протести срещу сметищата в Подмосковието започват да се превръщат в политически проблем за Кремъл

България изнася все повече машини и авточасти

Увеличението във външната търговия през 2015 г. идва основно от пазарите на ЕС. Спад има при суровините, но той е ценови

"Съгласие" купи животозастрахователния портфейл на "Дженерали" (коригирана)

Сделката е сключена в началото на декември, след като италианската компания обяви, че в България ще се съсредоточи само върху общото застраховане

Берлин, народе възродени

Тридневна серия събития Cyrillic sounds отбелязва 24 май в града

Нова услуга: Cook it

Още една опция за готвене без пазаруване

K:Reader

Нов и модерен инструмент, който пренася в дигитална среда усещането от четенето на хартия.

Прочетете целия вестник или списание без да търсите отделните статии в сайта.
Капитал, брой 21

Капитал

Брой 21 // 26.05.2018 Прочетете
Капитал PRO, Тема на броя: Как мишката не изяде книжката

Емисия

СЕДМИЧНИКЪТ // 25.05.2018 Прочетете