Мерки за защита на личните данни

Всеки бизнес трябва да предприеме мерки за защита на личните данни, които обработва. GDPR въведе много нови задължения за администраторите на лични данни.

Напомняме, че администратор на лични данни е всяко лице или бизнес, което обработва лични данни. Шансът ти да си администратор на лични данни е 99.99 %.

В предишните ни статии се фокусирахме върху документите, които са ти необходими, за да пригодиш дейността си с GDPR. В тази статия ще се фокусираме върху техническото измерение на новите правила.

Ограничаване на достъпа до данните

Достъпът до личните данни в твоя бизнес трябва да е ограничен. Не може всеки да има достъп до всички данни, които събираш.

Ограниченията важат в две направление:

  • Ограничаване на достъпа на лица извън фирмата
  • Ограничаване на достъпа в самата фирма

Предоставяне на данните извън фирмата

Предоставяне на данните към трети лица е принципно забранена, освен ако не се извършва на правомерно основание. За да не изпадаме в излишно многословие, ще дадем примери кога може и кога не може да се предоставят данните извън фирмата.

Можем:

Да даваме данните на нашите счетоводители

Да даваме данните на куриери, когато трябва да доставим стока

Да споделяме данните с други лица след изрично и конкретно съгласие

Да използваме услугите на софтуерни компании като Google Drive, microsoft OneDrive, iCloud и други облачни пространства.

Не можем:

Да изпращаме данните към лица извън фирмата без изрично съгласие

Да споделяме данните с друго лице, просто за да му водим клиенти (нужно е съгласие)

Да предоставяме базата си данни с клиенти на други лица

Да анализираме поведението на клиентите си и да даваме тези данни на други фирми

Възможните злоупотреби с данни са безкрайни, затова няма да се фокусираме върху тях. Важно е да знаеш, че данните са нещо, с което можеш да разполагаш при определени условия.

Изисквания към помещенията.

На следващо място, трябва да подсигурим помещенията, в които работим и складираме документи с лични данни.

На първо място, това означава достъпът до офиса ни да е ограничен, което се подразбира. Това обаче не е достатъчно. Трябва да складираме личните данни на обособено място в самия офис, като силно препоръчваме шкафовете с документи да се заключват. Ключ от шкафа могат да имат само определени лица.

Трупането на документи с лични данни върху бюрото без надзор е нарушение на GDPR

В западните страни се е наложила т.нар. „политика за чисто бюро“ („clean desk policy“). В България също започва да навлиза такава тенденция, макар и плахо. С дигитализирането на информацията става все по-лесно да поддържаме чисто бюро. По този начин не излагаме на показ за останалите лични данни на клиенти и партньори.

Такова решение може значително да допринесе за твоя бизнес не само за спазване на правилата на GDPR, но и за подобряване на организацията на данните в твоята фирма и повишаване на продуктивността.

Изисквания към компютрите

След като сме ограничили физическия достъп до данните, остава да направим същото и в дигиталния свят. В днешно време данните са предимно в облака и осигуряването на адекватна защита е задължително.

Пароли

Най-първото ниво на защита е паролата на нашия работен компютър. Да оставим компютъра си без парола е абсолютно нередно. Пароли като 1234567 също следва да се избягват.

Firewall

Второто ниво на защита е активирането на системната ни защита от операционната система – firewall. Друг вариант е инсталирането на специализирана антивирусна програма.

VPN връзка

Трето ниво на защита е ограничаването на достъпа до определени сайтове и въвеждането на VPN връзки. Това се прилага най-вече при по-големи компании, но с времето все повече малки компании повишават сигурността на данните чрез VPN.

На кратко, VPN  е виртуална мрежа, която чрез криптиране значително повишава сигурността на всички в мрежата ни, като не позволява на външни лица да достъпват нашите устройства.

Политика за носене на собствено устройство (Bring your own device policy)

Все повече компании се възползват от възможността служителите им да ползват собствени устройства – компютри. Преди години това криеше огромни рискове за компанията и се прилагаше само за много малък бизнес.

Днес все повече корпорации преминават към политиката за носене на собствено устройство. Гигантите като Google и Microsoft чрез услугите си предоставят пълен контрол над данните. Администраторът във фирмения профил може да дава пълен или ограничен достъп до служителите, да ограничава конкретни действия, да изтрива и добавя работници и т.н.

Повече за плюсовете и минусите от това, служителите ти да си носят собствения компютър, можеш да прочетеш тук.

Ако искаш да приложиш най-доброто от световните бизнес практики в твоята фирма, свържи се с нас и ще ти помогнем да направиш GDPR във възможност за растеж на твоята дейност.


GDPR документация

Ако искаш да разбереш как да приведеш дейността си в съответствие с новите праила, свържи се с нас.



Ако искаш да разбереш повече за GDPR, прочети и нашите други статии:

  1. Какво е GDPR?
  2. Какво е политика за защита на личните данни /privacy policy/
  3. Договор за обработване на лични данни – всичко, което трябва да знам.
  4. Вътрешни правила за защита на личните данни
  5. Длъжностно лице по защита на личните данни /Data Protection Officer/

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *