Что такое GDPR тренинг?
GDPR тренинг — это не что-то повседневное и необходимое в качестве общих знаний. Это целостный комплекс знаний и умений, который состоит из теории и практики работы компаний с персональными данными. Основная суть тренинга по GDPR свести к нулю все возможные опасности, касательно персональных данных, собираемых компанией, и оптимизировать, и улучшить работу как топ-менеджмента, так и остальных сотрудников в отношении таких данных.
Такой тренинг, стоит проводить не реже чем раз в 6 месяцев, или чаще, если имеется регулярная сменяемость сотрудников.
Какие преимущества GDPR тренинга
К основным преимуществам тренинга по GDPR можно отнести, во-первых, защиту репутации организации, так как любые новостные уведомления о возможных утечках данных или несанкционированном доступе к ним, не могут остаться незамеченными как среди конкурентов, так и среди потенциальных клиентов. Во-вторых, минимизировать опасность и обеспечить адекватный и правильный контроль за использованием, хранением и передачей персональных данных. И, в-третьих, повышение эффективности работы самой компании в лице ее сотрудников, так как умение и навыки быстрого и точного реагирования на возможные угрозы целостности данных и/или же запросы и жалобы субъектов данных, точно поспособствуют большему числу довольных клиентов и сбережению средств компании.
Что должен включать GDPR тренинг
Для того чтобы GDPR-тренинг действительно был полезным и внес позитивную лепту в развитие вашей компании, он должен содержать нижеперечисленные пункты.
Можно поделить его на два основных модуля:
- Знакомство с GDPR: принципы и правила сбора и обработки персональных данных, права субъектов персональных данных и обязанности контроллера и процессора, собирающих эти данные.
- Информационная безопасность: правила безопасного использования устройств, сети, распознавание разных видов социальной инженерии и так далее.
Ознакомление сотрудников с требованиями GDPR
Сотрудники компании, как и менеджмент должны понимать свои обязанности и ответственность в контексте GDPR. Поэтому стоит ознакомить их со следующей информацией.
1. Роль компании при сборе и обработке персональных данных
В данной части необходимо объяснить какую роль играет компания в отношении сбора и обработки персональных данных: контроллер и/или же процессор, так как от этого зависит уровень ответственности не только целой компании, но и каждого сотрудника в отдельности. Для облегчения понимания и скорой адаптации, стоит создать каждому из сотрудников мини инструкцию, в которой будут указаны его/ее основные векторы работы и какую роль при этом играет компания, а также возможные последствия в связи с нарушениями этих обязанностей.
2. Какие данные собирает компания
Этот вопрос должен быть первоочередным, так как в округ него выстраивается вся политика приватности компании. В этой части тренинга, необходимо выделить категории персональных данных клиентов и действий, которые осуществляются компанией для их сбора. Таким образом сотрудники будут понимать какие именно данные, в процессе своей работы они собирают.
Если компания собирает или иным любым способом взаимодействует с чувствительными персональными данными, то их стоит рассматривать отдельно от всех остальных, четко распределив на категории ( такие как, медицинские данные, о религиозных, политических убеждениях, сексуальной ориентации).
3. Кому данные передаются и безопасные пути передачи
В этой части представляются все третьи лица, которые могут быть уполномоченные на получение персональных данных компанией. В основном они разделяются на бизнес-партнеров, (суб-) подрядчиков и других заинтересованных лиц, услуги которых компания использует для обеспечения коммуникации и/или предоставления услуг клиентам, к примеру Google, MongoDB (сервис для хранения базы данных), Mail Chimp (сервис рассылки). Зачастую с последними третьими лицами заключаются публичные Data Processing Agreements (DPA), с которыми клиенты могут ознакомиться самостоятельно.
Также в этой части излагаются допустимые способы коммуникации с заинтересованными сторонами, такие как возможность использования мессенджеров, телефонной связи, электронной почти и защитные меры, которые должны быть предприняты в связи с таким общением.
4. Права субъектов данных, определенные в GDPR
Эта часть тренинга наиболее важная для сотрудников, которые работают в команде поддержки пользователей, так как часто приходят запросы не только по техническим вопросам, но и связанные со сбором персональных данных. Сотрудники должны понимать какие права имеют пользователи в отношении GDPR, и как они могут ними воспользоваться, непосредственно обратившись в службу поддержки. В частности, должна быть разработана процедура обработки и верификации запроса пользователя, предоставление ответа и максимально быстрая коммуникации, во избежание оповещения контролирующих органов, что может вылиться в огромный штраф или же попадания информации в СМИ (скорее актуально для больших холдингов), что возможно произведёт к утрате репутации и доверия среди клиентов.
Поведение в сети
Данный модуль наиболее полезный для сотрудников, которые не связанны с технической поддержкой деятельности компании, и поэтому не глубоко разбираются в информационных технологиях, но непосредственно взаимодействуют с персональными данными клиентов.
Социальная инженерия
Так как большинство людей в целом достаточно беспечны в использовании собственных мобильных устройств, то и в отношении рабочих, они будут поступать также. Поэтому, для того чтобы предотвратить разные технологические манипуляции, какими является социальная инженерия, необходимо ознакомить сотрудников, во-первых, с ее видами (baiting, scareware, phishing, pretexting, quid pro quo, и другие), и, во-вторых, со способами распознавания таких уловок и сообщения о них отделу безопасности.
Выбор и хранение паролей
Этот пункт есть частью предыдущего, но все же он требует особого внимания, так как достаточно большая масса людей, в независимости от их должности и образования, безответственно подходить к данному вопросу. В этой части модуля, необходимо объяснить базовые правила выбора пароля, такие как:
- неиспользования дат рождений близких и друзей;
- использование сочетания букв, цифр, знаков;
- использование разных паролей, а не одного для всех;
- запрет на сохранение паролей в браузере для дальнейшего входа и так далее.
Также не стоит забывать о таких банальных ситуациях, особенно распространенных среди людей старшего поколения, хранения разных паролей на листе бумаги или записной книге, которые никак незащищены и находятся в открытом доступе, что в принципе становит угрозу безопасности данных.
Безопасность используемой сети
В этой части, необходимо ознакомить сотрудников из теми способами защиты сети, которые предпринимаются компанией и правила поддержания такой безопасности.
Сетевая безопасность обычно состоит из трех различных элементов: физического, технического и административного.
Физическая безопасность подразумевает предотвращение несанкционированного доступа сотрудников к роутерам, кабелям и другим устройствам. К таким способам физической защиты стоит отнести наличие замков, паролей, аудио и видео девайсов, фиксирующих работников, которые взаимодействовали с данными устройствами, и так далее.
Технические меры безопасности подразумевают под собой защиту тех данных, которые хранятся в сети или на облаке и передачу этих данных по сети. К ним стоит отнести антивирусные программные обеспечения, брандмауэры, и прочие технологии.
Административная безопасность состоит в создании внутренних политик и правил, в которых четко определяется, как сотрудники, подключаясь к сети проходят аутентификацию, уровень доступа каждого из них и способы передачи данных.
Эти составляющие нужно учитывать и при работе дома, а также необходимо провести дополнительную оценку устройства каждого сотрудника на предмет безопасности, перед использованием вне офиса. Зачастую этим занимается IT или отдел информационной безопасности.
Работа вне офиса
Этот пункт особенно актуален сейчас, в условиях карантина, когда значительная доля компаний перевела штат в домашний режим, что в свою очередь привело к некоторой потери контроля за принятыми сотрудниками мерами безопасности при работе с персональными данными. Поэтому стоит ознакомить сотрудников как в письменном, так и в устном виде о правилах безопасности, которых они должны будут придерживаться.
Место удаленной работы
Как уже было описано выше, рабочее место, как в, так и в не офиса, должно иметь достаточно высокий уровень защиты, включая само устройство, на котором работает сотрудник.
Здесь важно учитывать два пункта:
- как избежать утечки персональных данных, когда сотрудник работает на своем компьютере, и
- как обеспечить безопасность внутренней сети компании в таком случае. К примеру, сотрудники, работающие из дома, обычно подключаются к сети компании через VPN. Данные между двумя точками зашифрованы, и сотруднику потребуется пройти аутентификацию, чтобы разрешить связь между своим устройством и сетью.
Что касается первого пункта, то здесь наиболее эффективным есть использование NDA, так как технически невероятно сложно отследить все возможные манипуляции с данными, которые сотрудник может осуществлять дома или в не офиса.
Также, стоит обратить внимание на физическую безопасность места удаленной работы. Так, если, у сотрудника нету возможности работать из дома, то он как минимум, должен использовать VPN и по возможности ограничить объем конфиденциальной информации, к которой получил доступ, ну и конечно же не пользоваться wi-fi сетью без пароля.
Кастомизированость под клиента
Помимо того, что GDPR тренинг должен быть основан на требованиях самого GDPR, он в обязательном порядке должен быть разработан под вашу компанию и ту деятельность, которую она проводит. Иначе, практическая ценность такого тренинга абсолютно теряется, ведь вы и сами можете прочитать требования GDPR и рассказать о них сотрудникам. Поэтому, если вы не желаете раскрывать векторы своей работы, то GDPR тренинг будет просто как ознакомительный курс с правилами GDPR и пользования компьютерными устройствами.
Выводы
GDPR тренинг необходим любой компании, которая собирает и обрабатывает персональные данные. Но в тоже время, чтобы он стал эффективным инструментом в работе компании, необходимо понимать, что это такое и, как его применять на практике. Поэтому, если вы уже убедились, что вам точно нужен GDPR тренинг, при его выборе, обязательно учтите все вышеперечисленные пункты.