GAP анализът е задължителен елемент при въвеждането на GDPR във фирмените политики

Фирмените политики на компаниите изискват промени спрямо новия Регламент за защита на личните данни (GDPR). Този процес включва изготвянето на вътрешни правила за ползване на лични данни, актуализирането на сайтовете за електронна търговия, съгласието на физически лица за предоставяне на лични данни и още много други важни детайли.

След подробно представяне на изискванията на регламента по време на семинари, свързани с въвеждането на GDPR, адвокат Асен Велинов, старши партньор в Консултантска къща „Велинов и партньори“, участва в няколкочасови дискусии със задаване на въпроси, свързани с разновидностите при въвеждане на регламента: Какви са разликите при малки и големи фирми? Кои компании и организации не се нуждаят от допълнително съгласие за използване на личните данни?

Как протича целият процес по въвеждане на GDPR? Опитът на адв. Велинов в областта на търговското и административното право му помага да даде отговор на въпросите, които вълнуват компаниите, обработващи лични данни.

Адвокат Асен Велинов разкрива, че добавянето на специално поле с информация за фирмените политики на официалните сайтове на компаниите би бил добър начин за въвеждането на GDPR, стига тези политики да отговарят на определени изисквания. „Ако политиките са направени вследствие на GAP анализ и тогава качени на сайта – да, в такъв случай е достатъчно. Трябва да има определено място, в което клиентът да отбележи, че е запознат и съгласен с тези политики, особено ако става въпрос за електронна търговия“, споделя адвокат Велинов за електронните магазини, които се превръщат в предпочитана форма на търговия.

Голяма част от компаниите разчитат на адвокати за изготвянето на GDPR система в ядрото си, но има и други консултанти, които са квалифицирани за това. Отговорното лице обаче със сигурност трябва на първо място да направи GAP анализ на пътеките, по които влизат лични данни в дадената компания. Въз основа на събраната и анализирана информация се изготвят политики, вътрешни правила, готови декларации, които да бъдат предоставяни на всяко физическо лице, даващо данните си, възможността те да бъдат заличени и то да поиска това при определени предпоставки. Времето за изготвяне на GAP анализ се определя в зависимост от големината на структурата, юридическото лице -администратор на лични данни, както и в зависимост от пътищата, по които влизат личните данни, кой има достъп до тях, къде се съхраняват, какви са нивата на достъп, кой има право да ги променя и кога трябва да бъдат заличени. Всичко трябва да бъде описано в политиките на компанията и във вътрешните правила за защита на личните данни.

Адв. Велинов разяснява още, че GAP анализът се разделя на две части – анализ на бизнес процесите вътре в съответния администратор на лични данни и анализ на ИТ процесите, т.е. на всичко, което се случва в електронната среда. „Работим с няколко партньорски организации, които разбират от GAP анализ на ИТ процесите. Първо се извършва GAP анализът на ИТ частта. След това правим GAP анализ на бизнес частта, а накрая изготвяме доклад на база цялата събрана и обработена информация. С него ние съобщаваме на управителите на фирмите или на тяхното разширено ръководство какво се случва към момента в техните организации“, обяснява адв. Велинов. В този доклад се съдържат препоръки към администратора на лични данни какво трябва да се промени и в какъв вид, така че да отговаря на изискванията на GDPR. Следващият етап е съставяне на съответните документи – правила, политики, декларации, за да могат физическите лица по-лесно да упражняват правата си. Обучението на служителите, които работят с лични данни, е една от най-важните стъпки, споделя адв. Велинов.  „След това обучение включваме съответните нови задължения в длъжностните характеристики на същите тези хора, защото защитата на личните данни спрямо GDPR трябва да бъде изпълнявана от тях и спрямо трудовия им договор“, разкрива още той. Крайният етап е подписване на споразумения с обработващите лични данни, например счетоводни фирми или друго юридическо лице, на което се предоставят лични данни под формата на информация, която се трансферира между двамата администратори на лични данни.

„Оставаме с уговорката, че ако влизайки в сила, законът даде различно тълкуване на част от разпоредбите на регламента или има различни изисквания, ние ще съобразим всички тези изисквания с въведените политики за защита на личните данни с тях“, споделя адв. Асен Велинов.

Клиентите, за които адв. Велинов работи по отношение въвеждането на GDPR са разнообразни като дейност и мащаб. Той и екипът му предоставят услуги както на консултантски фирми, така и на електронни магазини и търговски дружества в сферата на търговията, включително болници, в които задължително се изисква т.нар. „офицер по защита на личните данни“ или DPO. „Палитрата е доста обширна, така че всеки, който има нужда от въвеждане на регламента за защита на личните данни в своя бизнес, може да ни потърси“, съветва адвокат Асен Велинов.

***

Агенция 3CON е обслужваща комуникационна агенция и партньор в организирането на събития на Консултантска къща „Велинов и партньори“.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *