Какво показва практиката в българските компании

Когато GDPR влезе в сила, много организации подходиха с усещането, че става дума за поредното административно изискване. Документи, политики, няколко процедури – и темата е приключена.

Години по-късно се вижда, че това е било една от най-големите заблуди.

Истинските проблеми не идват от липсата на регламент, а от начина, по който той се прилага. И тук не говорим за малки пропуски, а за грешки, които водят до реални рискове – проверки, санкции и най-често загуба на доверие.

В практиката ясно се открояват няколко повтарящи се модела. Независимо дали става дума за малка фирма или голяма организация, грешките са изненадващо сходни.

1. „Имаме документи, значи сме изрядни“

Една от най-често срещаните ситуации изглежда така: фирмата има политика за защита на личните данни, има вътрешни правила, има дори формуляри. Всичко е подредено – на хартия.

Проблемът е, че тези документи почти никога не се използват.

Служителите не ги познават, процесите не следват написаното, а при реална ситуация никой не знае какво трябва да направи. GDPR обаче не се интересува от това дали имате документи, а дали те реално работят.

2. Копирани политики без връзка с реалността

Много организации започват с готови шаблони – често свалени от интернет или предоставени от външен консултант. На пръв поглед това изглежда като бързо решение.

Само че тези политики рядко отразяват реалните процеси в компанията.

В резултат се получава разминаване между „официалното“ и „реалното“. При проверка това се вижда веднага. А когато служителите работят по един начин, а документите описват друг, рискът вече не е теоретичен.

3. Неясно определяне на ролите – кой за какво отговаря

GDPR изисква яснота – кой е администратор, кой е обработващ, кой носи отговорност при конкретен процес.

В практиката обаче често се среща нещо друго: всички „по малко“ се занимават с лични данни, но никой не носи реална отговорност.

Това става проблем в момента, в който възникне инцидент. Тогава започва търсене кой е трябвало да реагира, вместо реакция.

4. Събиране на повече данни, отколкото е необходимо

Един от основните принципи на GDPR е минимизацията на данните. В реалността обаче много компании продължават да събират информация „за всеки случай“.

Типичен пример са форми, в които се изискват данни, които нямат пряка връзка с услугата – телефон, адрес, допълнителни лични детайли.

Този подход е остатък от по-стар модел на мислене, но днес той създава излишен риск. Колкото повече данни съхранявате, толкова повече отговорност поемате.

5. Липса на реална оценка на риска

Оценката на риска често се възприема като формалност – още един документ, който трябва да бъде попълнен.

Само че в същността си това е един от най-важните инструменти в регламента. Той показва къде са слабите места – достъп, съхранение, предаване на данни.

Когато тази оценка е направена формално, организацията остава „сляпа“ за реалните рискове.

Ако разпознавате част от тези ситуации във вашата работа, вероятно вече знаете колко лесно може да се стигне до проблем.
В практиката разликата между „формално съответствие“ и реална защита често идва от това дали хората разбират какво правят.

Ако искате да въведете ред и яснота в процесите, разгледайте обучението по GDPR, в което ще видите как тези принципи се прилагат на практика, с конкретни примери от реални ситуации.

6. Недостатъчно обучение на служителите

Много компании инвестират време в документи, но подценяват хората.

А именно служителите са тези, които ежедневно работят с лични данни – изпращат имейли, обработват заявки, съхраняват информация.

Без ясно обучение дори добре изградена система започва да се разпада. Най-честите инциденти не идват от сложни атаки, а от елементарни грешки – изпратен имейл до грешен получател, неправилно съхранение на файл, споделен достъп.

7. Неправилно разбиране на съгласието

Съгласието често се използва като универсално решение – „ще вземем съгласие и всичко е наред“.

Но в много случаи съгласието не е подходящото правно основание. Освен това, за да бъде валидно, то трябва да бъде:

• свободно дадено

• информирано

• конкретно

В противен случай то може да бъде оспорено и обезсилено.

8. Подценяване на правата на субектите на данни

Правото на достъп, корекция, изтриване – това не са теоретични концепции. Все повече хора започват да ги използват.

Проблемът е, че много организации нямат реален процес за реакция.

Когато постъпи искане, започва импровизация. А GDPR изисква срокове, проследимост и ясни действия.

9. Липса на план при инцидент

Въпросът не е дали ще възникне проблем, а кога.

Изтичане на данни, неправилен достъп, техническа грешка – това са ситуации, които се случват дори в добре организирани компании.

Разликата е в реакцията.

Организациите, които нямат план, губят време в първите критични часове. А именно тогава се определя дали инцидентът ще бъде овладян или ще се превърне в сериозен проблем.

10. Възприемане на GDPR като еднократен проект

Може би най-сериозната грешка е мисленето, че GDPR е нещо, което се „внедрява“ веднъж и приключва.

В действителност това е процес.

Данните се променят, системите се развиват, хората идват и си тръгват. Ако защитата на личните данни не се поддържа и развива, тя постепенно губи ефективност.

Какво показва практиката

Ако има нещо общо между всички тези грешки, то е следното: GDPR не е въпрос на документи, а на разбиране и навици.

Компаниите, които успяват да намалят риска, не са тези с най-дебелите папки, а тези, в които:

• хората знаят какво правят

• процесите са ясни

• решенията се вземат съзнателно

Един по-практичен подход

В последните години се вижда ясна тенденция – организациите, които инвестират в обучение, правят по-малко грешки.

Причината е проста: когато хората разбират логиката зад правилата, те започват да ги прилагат естествено.

А това е разликата между формално съответствие и реална защита.

Често задавани въпроси

❓ Кои са най-честите грешки при GDPR?

Най-честите грешки включват:

• Събиране на лични данни без ясно основание или съгласие
• Липса на прозрачна политика за поверителност
• Събиране на повече данни, отколкото са необходими (нарушение на принципа за минимизация)
• Неправилно съхранение или липса на мерки за сигурност
• Неуведомяване при пробив в сигурността в рамките на 72 часа (European Data Protection Board)

❓ Как да избегнем нарушения на GDPR?

За да избегнете нарушения:

• Събирайте само необходимите лични данни
• Осигурете ясно и информирано съгласие от потребителите
• Поддържайте актуална политика за поверителност
• Въведете технически и организационни мерки за защита на данните
• Обучавайте служителите и следете процесите по обработка на данни
• Реагирайте бързо при инциденти със сигурността

❓ Какво означава съответствие с GDPR?

Съответствие с GDPR означава организацията да обработва лични данни законосъобразно, прозрачно и сигурно, като:

• спазва принципите за защита на данните
• гарантира правата на потребителите
• може да докаже, че изпълнява всички изисквания на регламента

GDPR защитава физическите лица при обработка на техните данни както в частния, така и в публичния сектор (EUR-Lex)

❓ Кога се налага глоба по GDPR?

Глоба може да бъде наложена при:

• неправомерно събиране или използване на лични данни
• липса на съгласие или правно основание
• пробив в сигурността без уведомяване
• неспазване на правата на потребителите

Размерът на санкциите може да достигне:

• до 20 милиона евро или 4% от годишния оборот (което е по-голямо) (European Union)

Освен глоби, органите могат да наложат и допълнителни мерки, като спиране на обработката на данни (European Union)