Три години по-късно... Съществува ли съответствие с GDPR?

Общият регламент за защита на данните (GDPR) влезе в сила през май 2018 г. и бързо се превърна в един от най-известните регламенти в Европа. Може спокойно да се каже, че новаторска политика за поверителност направи революция в начина, по който компаниите обработват лични данни по цял свят и вдъхнови много страни да последват европейския пример.

През последните три години на предприятия, които искат да работят в ЕС, но не спазват посочените норми, бяха наложени големи глоби в размер на стотици милиони евро. Разбира се, провеждането на такава мащабна реформа дойде със своите проблеми. Дори големите технологични компании, като Google и Facebook, се борят да се съобразят с GDPR регламентите и не е изненадващо, че организации от всякакъв мащаб потръпват, когато чуят за актуализация на GDPR.

Европейският съвет за защита на данните (EDPB) наскоро одобри два кодекса за поведение (COC) за доставчиците на облачни услуги. Това породи спор относно това дали принципно съществува спазване на GDPR, тъй като не се предоставят официални услуги за сертифициране на COC. Краткият отговор е "не", а ако се разшири, тогава звучи така: "все още не, но скоро всичко ще се появи" и бизнесът трябва да се подготви за това.

Бизнесът трябва да разбере, че официалното спазване на GDPR се постига чрез множество схеми за сертифициране, а ИТ лидерите и доставчиците на ИТ трябва да започнат да демонстрират съответствие сега и да се подготвят за официално сертифициране. Ето как това може да се постигне.

Съответствие с GDPR: Работата продължава

Въпреки че правилата на GDPR влязоха в сила през май 2018 г., процесът по въвеждане в сила на член 42 (който би позволил механизми за сертифициране) беше иницииран едва в началото на 2020 г., след като EDPB публикува процедурите за одобрение.

Тази разпоредба даде нова надежда на компаниите, които търсят официално сертифициране, тъй като описва процеса зза представяне на схеми за официално одобрение.

През 2019 г. проучване на Европейската комисия идентифицира 117 схеми за сертифициране, след което 15 бяха избрани за подробен анализ. Подобно на Кодекса за поведение, съществуват механизми за защита на данните и удостоверяване на поверителност, които "могат да се използват като елемент за демонстриране на съответствие", но са извън обхвата на член 42. Тук попадат системите за управление на лична информация като BS 10012, NIST Framework и ISO 27701. Последният стандарт е продължение на серията ISO 27000 и получи силна подкрепа от френския регулатор за личните данни CNIL.

В допълнение, проучването на ЕС очерта две схеми за сертифициране като потенциални кандидати: ISDP 10003 Accredia (Италия) и European Privacy Seal, предложен от EuroPriSe (Германия). По този начин продуктите, процесите и услугите могат да бъдат сертифицирани. Когато избират EuroPriSe, компаниите могат да следват напредъка към одобрение, докато преминават през процедурите на германския регулатор и в крайна сметка на EDPB.

Защо сертифицирането е важно за ИТ мениджърите

Организациите носят отговорност не само за избора си на доставчик, но и за избора, направен от самия доставчик. Те трябва да направят оценка на рисковете и да извършат проверка, за да гарантират, че нито доставчикът, нито някой от неговите изпълнители нарушават изискванията за обработка на лични данни.

Това е изключително трудно да се направи, тъй като един продукт може да бъде обработен на различни нива на подизпълнители на различни места. Официалното сертифициране не освобождава от отговорност, но може значително да намали усилията, които трябва да се положат за оценка на продукта на доставчика. Чрез преместване на надлежната грижа към структуриран, рецензиран процес на сертифициране, организациите получават допълнителна увереност, че спазват GDPR, когато работят с доставчици.

Неотдавнашното обявяване на два кодекса за поведение, съчетано с различните схеми за сертифициране, които станаха достъпни след влизането в сила на GDPR, ясно показва, че е постигнат напредък и официалното сертифициране ще бъде на разположение в близко бъдеще. Компаниите и ИТ директорите трябва да се подготвят за това и да обмислят схеми, които да улеснят постигането на официално съответствие с регламента.

За доставчици, които продават продукти или предоставят услуги за данни на своите клиенти, начинът да докажат спазването на GDPR може да бъде схемата за сертифициране ISDP 10003 или European Privacy Seal. Всяка от тези схеми е готова да предостави на организации сертифицирана конфигурация, която ще се превърне в официално потвърждение за съответствие с GDPR, след като EDPB вземе съответното решение.

Организациите, които се явяват крайни потребители, обмислящи сертифициране, за да валидират продукти и услуги с данни, ще трябва да определят целта на оценката (TOE), спрямо която е проведен процесът. Този документ дефинира продукти и конфигурации като част от официалния процес на оценка.

Онези корпоративни крайни потребители, които искат да оценят вътрешни процедури за обработка на лични данни, може да разгледат BS 10012, NIST Privacy Framework или ISO 27701.

Важно е да се отбележи, че сертификатите за поверителност, независимо дали официално доказват спазване на GDPR или не, са отлично средство за поддържане на структурата в програма за поверителност и могат да осигуряват конкурентно предимство.

С две стъпки напред в процеса на сертифициране на GDPR, компанията си улеснява живота, защото въпросът сега е кога, а не дали организациите ще могат официално да удостоверяват спазването на GDPR.