GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

• Липсата на подобна обвързваща рамка до момента ще изправи бизнеса пред много предизвикателства и съвсем нови правни казуси.

• Натрупването на добри практики ще се превърне в основа за прецизиране на корпоративните стратегии за съответствие.

Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

Много експерти защитават тезата, че GDPR не е технологична регулация, но именно технологиите и по-специално облачните услуги са едно от решенията за съответствие с регламента. Примамливото в случая е, че отговорността се споделя между клиента и доставчика. Другата възможна стратегия е промяна на бизнес процесите в компанията, така че да бъдат изпълнени разпоредбите на регламента. При такова решение отговорността се носи от страна на компанията.

За момента анализите на пригодността на различните мерки и очакваните от тях резултати са изцяло в сферата на интерпретациите. GDPR въвежда задължителни изисквания на общоевропейско ниво без аналог в историята, а това значи, че до момента липсват добри практики, на които компаниите могат да разчитат, когато изготвят своите планове. Това важи в пълна сила и когато става дума за ролята, която облачнaта инфраструктура би могла да изиграе в процеса на администриране на личните данни.

Предизвикателства

"Разбирането, че технологиите дават решение на казусите, които GDPR поставя пред компаниите, е много често срещана грешка. Истината е, че те са само част от него заедно с хората, които ги използват. Служителите трябва да осъзнаят това и да са ангажирани в процеса по администрация на лични данни, а технологията е онази част, която дава възможност тази информация да се съхранява в определени масиви, да бъде одитирана и защитавана", смята Александър Иванов, ИТ мениджър на "Петрол". По думите му най-важната част от подготовката за GDPR е свързана с вътрешноорганизационните структури, правила и стандарти, но ИТ системите са тези, които подсигуряват защитата на личните данни.

"Основните предизвикателства за компаниите са свързани със сформирането на експертен екип и дефинирането на ясен подход, който включва преглед на процесите по обработка и дефинирането на мерки за постигане на съответствие. GDPR изисква съчетаването на комплексни компетенции в областта на бизнес процеси, право и информационни системи. Когато компанията не разполага с вътрешен ресурс и методология, е препоръчително да се довери на консултанти и външни експерти, които вече имат успешни внедрявания в тази посока", коментира и ръководителят направление бизнес софтуер в "Технологика" Борис Борчев. Редица компании дори не са планирали бюджет за GDPR нито за 2017, нито 2018 г., коментира той.

И докато големите все пак разполагат със значителни финансови и човешки ресурси, които лесно могат да впрегнат за наваксване на изоставането, по-малките фирми трябва да търсят гъвкави решения, извън рамките на собствените си системи. Едно от тях е свързано с аутсорсинг на дейности към външни доставчици, които имат капацитета да ги управляват в съответствие с правната рамка. В общия случай това са облачните изчислителни центрове – една от основните технологии за анализ и съхранение на големи данни.

Новите възможности

Скоро облачните услуги ще отбележат важен момент в историята си - разпространението им сред бизнеса ще мине психологическата граница от 50% от компаниите, твърди изследователската компания Forrester. Глобалният пазар на обществени облачни услуги ще достигне 178 млрд. долара през 2018 г. Облакът се превърна в основен инструмент, на който фирмите разчитат за модернизиране, дигитална трансформация на бизнеса и ефективно използване на ресурсите си. Според доклад на друга анализаторската група - SiliconAngle Media, през 2017 г. пазарът на решения за анализ на големи данни (big data) е пораснал с 24.5% спрямо предходната година. От компанията прогнозират, че тази тенденция ще се запази още дълго време.

Не точно така изглежда ситуацията в България все още. Софтуерът за управление на бизнеса тук се използва предимно като инсталация, а на облачните решения се падат около 3%, показват данни на CBN Panoff, Stoycheff & Co от октомври 2017 г. От агенцията обаче прогнозират двуцифрен ръст на облачните ERP и CRM решения през следващите години.

GDPR вероятно ще изиграе немалка роля в този процес. Очаква се той да стимулира миграцията на бизнес процеси и данни към облачна инфраструктура. Това обаче далеч не означава, че подобни платформи са панацея за съответствие с европейската регулация. Напротив – те биха могли както да доведат до успех една организация, така и да наклонят везните в обратната посока. Затова решението кои дейности да бъдат изнесени към подобни доставчици, както и изборът на конкретна система трябва да бъдат направени след сериозен анализ на предимствата и недостатъците на облака, като се вземат в предвид изискванията на новата регулация.

"Мерките са конкретни за всяка организация и трябва да произтичат от внимателен преглед на текущата ситуация. Големите световни доставчици на облачни услуги вече адаптират своите процеси и процедури спрямо GDPR, но всяка компания трябва да прецени кои услуги и процеси е удачно да бъдат изнесени в облака. Някои наши клиенти използват подобни услуги, докато други имат притеснения или вътрешни политики, които не позволяват да се съхраняват лични данни във външна инфраструктура", коментира Борис Борчев от "Технологика". Най-важното при този избор е доколко една дейност е критична за бизнеса и въобще какво значение има за него, добавя Александър Иванов от "Петрол".

Облачните услуги стават все по-малко екзотични, а бизнесът започва да се ориентира все повече към дигиталната среда. "Нищо не пречи на клиента да изнесе която и да било услуга, стига нивото на сигурност да отговарят на неговите изисквания", обръща внимание Иванов. Миграцията от локални сървъри към облак обаче отнемат немалък финансов ресурс, казва той. Около споделената отговорност между администраторите и операторите на лични данни пък все още има много неясноти, които в момента са спирачка за развитието на облачната инфраструктура.

"GDPR въвежда две основни категории - компанията, която събира лични данни за постигане на своите бизнес цели, се нарича "администратор на данни", а тази, към която е изнесена тази дейност - "оператор на лични данни". Проблемът идва от липсата на законова рамка, която да защитава интересите на администраторите. Те изнасят дейностите си на базата на търговски договори, но няма гаранция, че при нарушаване на правата на администратора от страна на оператора той ще бъде компенсиран до размера на глобите, предвидени в GDPR. Това е най-голямото притеснение на компаниите при аутсорсинга на обработката на лични данни", обяснява още ИТ мениджърът на "Петрол".

Предимства и недостатъци на облака

GDPR дава нови възможности за доставчиците на ИТ решения, като стимулира компаниите да преосмислят, трансформират и дори разширят своето продуктово портфолио. "Правото за преносимост на данните (data portability) на физическите лица пък е интересна предпоставка за създаването на среда за оперативна съвместимост между различни, хетерогенни информационни системи. По този начин GDPR отваря нови възможности за ИТ пазара", казва Борис Борчев. Точно това право обаче води и до възможността новите правила за защита на личните данни да бъдат нарушени, без администраторът въобще да разбере за това навреме. Тази възможност заедно с липсата на конкретика в регулацията на взаимоотношенията между различните участници в процеса по управление на данните създават условия за още няколко конфликтни точки, които имат потенциала да се превърнат в заплаха за компаниите, избрали да се насочат към облака.

Според GDPR данните не могат да се съхраняват по-дълго от нужното за предварително посочената цел. Това предполага информацията да бъде заличена или анонимизирана, независимо дали се съхранява на локален сървър или в облака. Първият случай обаче носи трудности. За да се изтрият данните, облакът трябва да се "размагнетизира". Това е почти невъзможно, тъй като обикновено данните се съхраняват на няколко локации, които попадат под различни юрисдикции. Пълното изтриване на информацията е невъзможно и от гледна точка на всички резервни копия (бекъпи). Възможно е обаче данните да бъдат анонимизирани. Затова е важно компаниите да имат ясен и конкретен поглед върху начина, по който доставчиците на облачни услуги защитават и управляват резервните копия.

От друга страна, задължението за уведомяване при нарушения на сигурността и изтичане на данни трябва да бъде включено задължително в договорите с доставчици на облачни услуги. GDPR дава на компаниите 72 часа за това. Дори ако операторът носи вина за пробива, администраторът трябва да притежава инструменти и стратегия, с които да минимизира последствията.

Облакът, разбира се, може да донесе и много позитиви за справяне с новата европейска регулация. На първо място това важи за компаниите, които нямат добре развита ИТ инфраструктура и потенциално не биха се справили с изискванията на регулацията в оставащия срок. За тях аутсорсингът на определени дейности е може би най-удачният вариант. Така, от една страна, си гарантират съответствие с регулацията, а от друга, освобождават свои локални ресурси, които могат да пренасочат към дейности с по-голяма добавена стойност.

Големите доставчици като Amazon, Microsoft и Google имат опит при управление на информацията и риска и разчитат на едни от най-добрите системи за сигурност. Облачните доставчици често разчитат на допълнителни защитни слоеве, комбинацията от които гарантира в достатъчна степен, че личните данни на потребителите ще бъдат защитени. Повечето компании не могат да си позволят изграждането на такава система самостоятелно.

Подготовка, но за какво

"Някои компании в България стартираха достатъчно рано и вече демонстрират значителен напредък. Работим с много такива клиенти, сред които има банки, представители на сектора на комуналните услуги, производствени фирми и др. Има обаче и компании, при които GDPR едва сега попада във фокуса на мениджмънта", разказва Борис Борчев от "Технологика". По думите му на пазара има най-различни мнения. От "никой няма да покрие изискванията, така че защо да го правим" до "ще удължат гратисния период" и други.

ИТ мениджърът на "Петрол" Александър Иванов обаче вижда друг, далеч по-важен проблем – липсата на стандарт, който да гарантира, че една компания наистина е готова за новия регламент. "Какво всъщност значи готовност за GDPR? В момента няма нито един стандарт и нито една акредитирана организация, която да може да каже със 100% сигурност дали дадена компания е готова за новите правила. В момента става дума единствено за тълкувания и надежди те да са правилни", категоричен е Иванов.

"В регламента се споменава за криптиране на данни, но ако внедрим подобни решения, дали ще покрием неговите изисквания", дава пример Борис Борчев. "Да си представим, че личните данни в базата на нашата основна ИТ система или в облака са криптирани, но, разбира се, за потребителите на системата те се визуализират декриптирани. И ако един служител може да направи експорт от системата на файл с лични данни на стотици физически лица и да го изнесе, очевидно криптирането не спомага за сигурността на личните данни", обръща внимание той.

Тези условности ще важат, докато не бъдат натрупани достатъчно добри практики, които да послужат за пътна карта за адекватно позициониране на компаниите спрямо изискванията на регулацията. Добрите практики ще бъдат и ориентир кога облакът е по-практичният вариант и кога аргументите в полза на локалните решения надделяват.

При всички положения облачните доставчици вероятно ще бъдат едни от най-бързо адаптиралите се организации. Това ще ги превърне в конкурентна алтернатива за немалко компании, които по една или друга причина не са успели да се трансформират в унисон с GDPR. А в несигурното начало на новата регулация възможността за споделена отговорност, колкото и неясни да са границите за това все още, няма как да не изкуши компаниите. Европейската комисия гледа сериозно на новото законодателство и се очаква да го прилага стриктно, дори с цената на недоволство срещу санкциите за провинилите се още в самото начало. Облачната миграция изглежда все по-удачно решение поне докато практиката не даде доказателства за обратното.GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

Още от Капитал