Карта и анализ на данните: Какво не знаят компаниите за себе си
Карта и анализ на данните: Какво не знаят компаниите за себе си
През последните няколко месеца все по-често и в България започнаха да се чуват думите общ регламент за защита на данните, повече известен с абревиатурата на английското си наименование. Индустрии, които доскоро не подозираха, че притежават този ценен актив (или бомба със закъснител), все по-често започнаха да си задават въпроса: трябва ли да правим нещо? Или можем просто да напишем едни правила и да си работим както преди? Производителите на автомобилни части и софтуер за автомобили, “умни” прахосмукачки и хладилници, болниците (какъв късмет, че засега им се размина централизираното събиране на биометрия!), лабораториите, тъканните банки и просто банките – всички те като че ли чакат някакво държавно или поне браншово организирано обучение или указание в тази област. А то не идва.
Първата стъпка
Причините за това са много, но една може да бъде откроена: регламентът засяга почти всички индустрии на ХХI век, но всяка индустрия и дори всяка компания е засегната по различен начин и в различна степен. По тази причина отговорът на въпроса откъде да започнем може да бъде даден така – направете карта на данните във вашето предприятие, сложете я пред себе си и разгледайте какво ви казва тя.
На първо място, изследвайте какви данни събирате за своите клиенти и служители, за клиентите на свои клиенти, дори за семействата на служителите си.
Задайте си въпроса: нужни ли са ви всички тези данни, за да осъществявате дейността си? Възможно ли е да се освободите от тях след известно време, без да утежните работата си? Пряко свързани ли са с целта, която предполагаемо обслужват? Или, било по исторически причини или на принципа колкото повече – толкова повече, досиетата отдавна надхвърлят необходимия за извършването на съответната дейност минимум? Къде и как се съхраняват тези данни? Можете ли да се отървете от хартиените досиета, да дигитализирате това, което реално ви е нужно, и да унищожите или върнете останалото? Какъв софтуер и какви системи ползвате за управлението на компанията? Организацията ви ползва ли облачни услуги или друг тип център за данни, поддържайки там собствен или нает сървър? Защитен ли е достъп до тях – чрез криптиране, пароли, диверсификация между служителите, които имат достъп? Нужен ли е достъпът на всеки, който го притежава, за изпълнението на преките му служебни задължения? Всички данни ли се достъпват от всеки? Наблюдавате ли служителите си чрез видео или биометрия? С какви цели? Те съгласни ли са? Ползвате ли едни и същи SIM карти или мобилни устройства за различни служители (работещи за вас и напуснали)? Водят ли служителите ви лична комуникация през поверените им преносими устройства? Кой има достъп до документите от годишните профилактични прегледи? Съхраняваната информация относно служители/клиенти може ли без особени усилия да бъде свързана с конкретен човек, може би дори с домашния му адрес и личния му телефон или пък номер на платежна карта/сметка? Съхранявате ли едни и същи данни на повече от едно място в компютърната си система или като хартиено копие?
Всички тези въпроси следва да бъдат индивидуализирани и систематизирани
Задаването им обслужва една цел: да ограничи риска на компанията от финансови и репутационни последици, включително загуба на бизнес. Рискът може да представлява неправомерно ползване или разкриване на лични данни, неадекватен отговор на претенции по тази линия от страна на клиенти или служители, (забавено) разкриване на пробиви в защитата на данни или на незадоволително представяне в тази област по повод голяма потенциална поръчка или стратегическо партньорство. Ако бизнесът ви зависи от големи възлагания от страна на компании, опериращи и в ЕС, не можете да си позволите да заобиколите общия регламент за защитата на лични данни, нито пък регламента за защитата на личната сфера в електронна среда.
И така – промяната в нагласата на бизнеса по отношение на управлението на данните, които съхранява в контекста на общия регламент, следва да започне с доклад по въздействието на защитата на данни. Минимално необходимото съдържание на анализа е част от насоките на работната група по чл.29 от общия регламент; както обикновено, то е технически неутрално – това цели безпрепятственото развитие на технологиите и иновациите в тази област и е обусловено и от огромното разнообразие от индустрии и компании, които регламентът засяга. Анализът трябва да дадат представа на ръководството за:
– Основните видове, канали и методи за обработка на лични данни, които се случват в тяхната компания (често констатациите тук могат да бъдат неочаквано интересни)
– Наличие на пропорционалност между целите, които се преследват с обработката на данни, и начините на обработка и съхранение – много рядко тук няма да се наложат корекции, ориентирани към минимализъм: бизнесите, също както хората, имат склонността да се затрупват с ненужни вещи или – в случая – данни през годините
– Оценка на риска (за правата на носителите на данни и – в крайна сметка – правния риск за самата компания вследствие на това)
– Препоръки, насочени към минимизиране на риска за компанията – при даването на препоръките е от изключително значение да се познава добре целият регулаторен контекст, в който компанията е поставена – включително специфичните рискове за дейността й (например във връзка с предотвратяването на изпирането на пари и финансирането на тероризма, изисквания за идентификация по линия на секторното законодателство и други), както и начина, по който функционира (интервютата с отделите HR, информационна сигурност и технологии и маркетинг са абсолютен минимум).
Накратко, анализът по въздействието от защитата на данни представлява специфичен правен или правно-технически анализ, който разглежда дейността на компанията през точно определена призма, но в никакъв случай не и изолирано от нейната същност, цели и цялостен регулаторен контекст.
За да има пълноценен ефект от такъв анализ, той трябва да завърши с въвеждането на препоръчаните в него мерки – като се започне от договорите с подизпълнители и външни доставчици, премине се през трудовоправната рамка на компанията и се продължи с политики и процедури за мониторинг и превенция най-малко за дейността на отделите “Човешки ресурси”, “Маркетинг” и IT. Докладът следва да даде насоки и примери относно вида инциденти, за които да се следи, за тяхната ескалация и оповестяването им (на Комисията за защита на лични данни, на засегнатите лица и/или публично), сроковете за това, както и мерките за ограничаване на последиците от инциденти.
Докладът е задължителен в случаите, когато от обработката на данни могат да произтекат значителни рискове за лицата, за които данните се отнасят; на практика обаче дори само за да се отговори на въпроса дали такива рискове биха могли да възникнат, е необходим доклад.
Така например видеонаблюдението, когато се предприема, без да е изрично разписано в закон, ще се предхожда от такъв доклад и “тест на баланса” между защитаваните чрез него интереси (обществена сигурност) и засегнатите права и свободи (така например особено солидна трябва да е обосновката за използване на камери при наличие на деца). Някои от индустриите, които следва задължително да предвидят доклади, са: доставчиците на облачни услуги, големите търговски центрове, доставчиците на финансови услуги, здравните заведения, както и онези, чиято дейност е свързана с Internet of Things и/или биометрични данни. Добре е да не се забравя, че докладът е само началото на работата по общия регламент; имайки предвид това, май 2018 г. започва да изглежда като денят след утре.