Хартиени документи и GDPR

 

Съвети от Национални Архиви за хартиените  документи и GDPR

 

Последният месец светът бе футбол и и сякаш позабравихме това, което ни вълнуваше само месец по-рано. А именно — прилагането на Общия регламент за защита на личните данни (GDPR). Бизнесът посрещна предизвикателството, наречено GDPR. Много фирми се свързаха с нас вследствие на новата регулаторна рамка за защита на личните данни. Документите, с които основно работят, но без да се ограничават само до тях, са:

  • HR документи
  • Документи с лични данни на клиенти
  • Медицински досиета
  • Лични файлове
  • Финансово-счетоводни документи

 

Именно това беше и моментът, в който установихме, че основният фокус на всички е върху заплахите за киберсигурността, пробивите на сървъри, съществуващите уязвимости при предаване на бази данни и данните, съхранявани и предавани между сървъри и мрежи. Но какво се случва с традиционния хартиен носител?

 

С GDPR, който вече е в сила, рязко се покачва рискът при вътрешното съхранение хартиени документи. Но защо?

 

Притеснението на компаниите

То произтичаше главно от факта, че след внимателно запознаване с изискванията и извършване на чек лист, се оказваше непосилно за тях, с текущите им практики, да отговорят на изискванията на Регламента. При тях липсваше всичко или поне част от следното:

  • внедрени подходящи технически и организационни мерки за сигурното съхранение на документи, съдържащи лични данни, независимо от носителя;
  • пълна и точна информация с какви данни разполагат;
  • защитени работни и хранилищни помещения,  в които да обработват и съхраняват документи, съдържащи лични данни;
  • защитена и сигурна софтуерна и мрежова инфраструктура, която да контролира регламентирания и минимално необходим достъп, да ограничава нерегламентирания такъв и да предоставя надеждна и същевременно високодостъпна среда за управление на чувствителната информация;
  • обучени служители, които познават и прилагат практиките за правилно управление на информацията

 

В специализиран по GDPR брой разкрихме как нашите услуги по управление, съхранение, дигитализиране и унищожаване на документи и информация отговорят на изискванията на Регламента. Ще разберете и как ние можем ви помогнем в процесите, свързани с неизбежните хартиени документи. Материала вижте тук: https://goo.gl/D1b5rz

 

Заплахи, свързани с поддържането на документи на хартиен носител

 

Знаете ли, че по последни данни около 85% от компаниите все още разчитат на традиционното хартиено копие за създаване и разпространение на информация? Мониторингът на хартиените документи и гарантирането, че те се събират, обработват и съхраняват в съответствие с GDPR може да ви затрудни значително. Една бърза проверка, която можете да си направите, за да разберете дали ги управлявате в съответствие с изискванията:

 

  1. Ако получа запитване за конкретна информация, знам ли къде е документът, който я съдържа?
  2. За колко време ще го намеря?
  3. Сигурен ли съм, че този документ е при мен?
  4. Колко копия има този документ?
  5. Знам ли коя информация трябва да задържа, пазя ли ненужна информация и коя как трябва да унищожа?

 

Ако отговорът на някой от горните въпроси ви е затруднил, някои от основните процеси,които подсигуряват съответствието ви с GDPR, не функционират правилно. Но те са пряко свързани с начините, по които:

  • събирате лични данни

(събирате ли само данни с конкретна цел и знаете ли как да ги категоризирате?)

  • ги поддържате актуални
    (съхранявате ли само тази информация, която ви е нужна?)
  • ги съхранявате
    (кой има достъп до личните данни, достатъчно защитена ли е софтуерната система, която ползвате за обработка на данните?; къде отиват хартиените копия и кой има достъп до тях?)
  • ги унищожавате
    (кой унищожава личните данни и доколко сигурно става това?)

 

Нашите съвети за начални стъпки, с които да преодолеете горните въпроси, в случай, че сте преценили сами да съхранявате хартиените си документи:

  1. Идентифицирайте отделите, в които най-вероятно ще бъдат създавани и съхранявани записи, съдържащи информация за лична идентификация.
  2. Приоритизирайте документите и записите за сканиране — дигиталните документи не заемат физическо място и се управляват много по-лесно. Помислете как ще категоризирате, наименовате и класифицирате различната информация. Как ще бъдат идентифицирани те? Колко служители ще са нужни, за да сканират документите? Какво оборудване ще ви бъде необходимо? А с каква програма за сканиране ще го направите? Къде ще съхранявате вече дигитализираните документи и как ще подсигурите защитата им?
  3. Отредете защитено място за съхранение на хартиените носители. Ако решите да ги съхранявате при себе си, уверете се, че помещението, което сте избрали е с ясно определен и контролиран достъп и има отчетност за вашите служители. Уверете се също, че то е достатъчно голямо, за да може да поеме и текущия, и бъдещия обем на вашия архив. Дали разходите по това допълнително помещение не могат да се превърнат в инвестиция за друга дейност, основна за бизнеса ви?
  4. Уверете се, че имате контрол над копията, които се правят, защото често хартиените документи водят двоен или троен живот — направени са няколко фотокопия, които понякога могат да бъдат намерени дори върху принтерите, има копия в USB флаш памети, CD, DVD, на работните плотове на служителите ви или на ред други места и носители. Редовни обучения за начина, по който се управлява информацията, биха ви спестили много тревоги дали частна информация би могла да попадне в неподходящи ръце.
  5. Осигурете поверителност на информацията си — само оторизирани лица да имат достъп или да могат да правят копия на документи, които съдържат лична информация. Така ще избегнете моменти, в които служител, сътрудник или контрагент би могъл да забрави чувствителна документация на обществено място и изобщо лични данни да се окажат на неправилното място в неподходящото време.
  6. Управлявайте и поддържайте актуални записи, а от ненужните се освободете. Според GDPR личните данни не трябва да се пазят по-дълго от необходимото по отношение на целите, за които се обработват. Като съвестни администратори, организациите трябва да гарантират поддържането на актуални и точни лични данни (разбира се, след подадена молба за актуализиране от страна на субектите). Същевременно, всички лични данни трябва да бъдат безопасно унищожени веднага щом вече не са необходими, като по този начин те намаляват рискът информацията да стане неточна или остаряла. Лесен и рентабилен начин за работа само с нужни на бизнеса документи е дигитализиране и сканиране на хартиените документи и навременното унищожаване на документите с изтекъл законов срок за съхранение.
  7. Не забравяйте, че търсенето на хартиени документи отнема значително време и всъщност може да ви излезе доста скъпо.

Американските фирми губят 8 милиарда щатски долара годишно само за управление на хартия Това струва на организацията средно $ 20, за да подаде документ, $ 120 за намиране на неточен документ и $ 220 за възпроизвеждане на изгубен документ[1]

  1. И накрая, за да гарантирате, че поддържате съответствие с GDPR, трябва да подсигурите квалифициран персонал, който да бъде обучен, за да осъществява редовно наблюдение върху процесите за съхранение, задържане и унищожаване на документи.

 

От години основната ни цел е да осигурим спокойствие за клиентите ни, защитавайки тяхната информация и заедно да подобрим начина, по който управляват бизнес документите си като ускорим достъпа им до конкретна информация. За да подсигурим и съответствието си с GDPR, освен, че сме сертифицирани по интегрирания ISО стандарт 27001:9001 за информационна сигурност и управление на качеството, вложихме ресурси и предприехме допълнителни мерки към нашите процеси — проведохме GAP анализ, наехме професионални консултанти по GDPR, наехме професионални хакери, които да пробват да пробият системите ни, за да видим къде имаме възможности за подобрение, обучихме отговорник по защита на личните данни (DPO) и двама помощници, които непрекъснато да контролират вътрешните процеси и сигурността на информацията. От правна гледна точка съобразихме и изискванията към договорите — както към нашите партньори, клиенти и доставчици, така и към служителите ни.

 

А за вас кое е най-трудно в процесите, свързани с организирането на хартиената документация? Достатъчно сигурно ли я защитавате? В кои моменти най-често се затруднявате да намерите конкретна информация? И колко време ви отнема?

 

Запознайте се с услугите, които предлага фирма  "Национални Архиви Корп."  тук: www.nacorp-bg.com 
Или се свържете с нас на: 0896 553 523, 0898 66 68 62
Ще се радваме да ви помогнем!

Видео по темата с участието на Георги Чернев, председател на Софийска търговско-промишлена камара https://youtu.be/SaT0sOSIvs4

АБОНИРАЙ СЕ ЗА БЮЛЕТИНА НА ТЪРГОВСКИЯ ВЕСТНИК: