Важно е да се отбележи, че този въпросник няма за цел да е изчерпателен или да гарантира съответствие на организация, която го използва. Темата за личните данни е динамична и продължава да се променя чрез създаването на нови международни и локални закони, добри практики, софтуерни продукти и други. Реално, съответствието на една организация с изискванията на регламента зависи от контекста на организацията, а най-лесният начин за съответствие е осъзнатост от всички служители, клиенти и партньори за изискванията при работа с данни.
Често срещани грешки и проблеми при започване на проект за съответствие с GDPR са:
- Назначаване на един човек от организацията или консултант, който да е изцяло отговорен за съответствието ѝ с регламента
- Липса на подкрепа от ръководството на организацията
- Нереалистични очаквания за обема работа необходим за съответствие
- Изготвянето на политики и процедури които да служат само за целите на одит, но реално да не се прилагат
- Извършване на дейности по обработка на данни без направена оценка на риска, определено отговорно лице по защитата на данните или по информационна сигурност и цялостна не-запознатост на служители и ръководството с GDPR
- Липса на разбирането, че данните са критичен актив за организацията
Както е отбелязано в "За УБИС -> Структура", УБИС определя четири основни категории на самооценка, а именно:
- Идентификация на данни ("D") - Анализ на съществуващите данните, които организацията съхранява и обработваи съответната и класификация.
- Управление на данните ("M") - Управление на дейностите по обработка, комуникация със субекти на данни и други администратори, политики и процедури за събиране на съгласие, изтриване на данни и други.
- Защита на данни ("P") - Създаване на необходимите нива на Поверителност, Интегритет и Достъпност на данните, чрез използване на криптографски и други методи и инструменти за подобряване на информационната сигурност.
- Документиране на съответствието ("R") - Способност за доказване на съответствие с регулацията и извършване на оценка на въздействието на данните върху организацията .
За въпросника
Тези 4 категории са разделени на теми който да обхванат основните изисквания на регламента спрямо съответната категория. Респективно, всяка тема има набор от въпроси, които да определят нивото на съответствие на организацията с изискванията на GDPR. Например, първата тема от категория Идентификация на данни ("D") изглежда така:
За улеснение на потребителите всички въпроси от УБИС имат възможни отговри - "Да", "Не" и "Неприложимо".
Когато въпросът адресира контроли от GDPR, който не са в обхвата на организацията се отбелязва отговор Неприложимо. Например, когато адресираме изисквания за сигурност при транфер на данни извън страната, организацията може да отбележи въпроса като неприложим ако никога не е, и няма намерение да прехвърля данни извън дъжравата от която те са дошли.
Важно е да се отбележи, че не всеки въпрос отразява задължителни изисквания на регулацията. Някои въпроси отразяват препоръки към организациите, предназначени им да помогнат при бързо разрастване, адаптиране към променящи се закони или пазарни тенденции и други. Кои въпроси са задължителни и кои препоръчителни ще бъде отбелязано в резултатите, които ще получите след регистриране на сайта на УБИС и попълване на всички въпроси.
Важно е да знаете, че е възможно да има въпрос отразяващ задължително изискване на GDPR, който все пак да е неприложим за организацията. При тази ситуация трябва съответната организация да е уверена в отговора си, за да избегне потенциални санкции. За да системата помогне на потребителите си при попълване на въпросника, им предоставя контекст за всяка тема. Можете да намерите този контекст като натиснете Въпросителната до името на темата, както се вижда на изображението отгоре.
Можете да следите прогреса си като следите червената лента под всяка категория и полето "Отговорено на:".
Ако искате да нулирате всичките си попълнени отговори и да започнете отначало, можете да използвате бутона "Нулиране на въпросника", който се намира в полето "Старта на въпросника". Внимавайте когато използвате опоцията "Нулиране на въпросника", отговорите Ви ще бъдат изгубени безвъзвратно.
За да започнете въпроснека трябва първо да се регистриате в системата УЛИС и да се съгласите, че системата ще обработвна данните които и предоставяте, за да може да изпълни услугата. Можете да намерите повече информация за това как УБИС управлява данните които използва в "Политика за защита на личните данни".
След регистрация ще видите две допълнителни менюта които ще станат видими - "Въпросник" и "Резултати". За да въпросите станат активни отдете на "Въпросник" -> "Старта на въпросника" и натиснете бутона.
Резултати от попълване на въпросника
След попълването на всички въпроси ще може да получите резултатите. Това става като отидете на полето "Финал на въпросника" и натиснете бутона за получаване на резултати. Тези резултати съдържат:
- Всички въпроси и съответниет ви отговори към тях.
- Информация дали съответния въпрос е задължителен или препоръчителен.
- Ако сте отгворили Не или Неприложимо, ще получите препоръка за съответствие, който целят да дадат насоки, но и да подобри разбирането за значението на въпроса.
- Ако сте отговорили с Неприложимо на въпрос който се счета за задължителен, ще получите предупреждение, че трябва да сте сигурни в избора си, за да избегнете несъответствние с изискванията на регламента.
- Контекст на темата присъства както при въпросника, така и при резултатите. Може да го видите като натиснете въпросителната до името на темата.
Целта на въпросника е да бъде полезен инструмент по пътя към съответствие и осъзнатост на една организация с изискванията на GDPR. Тъй като спазването на тези изисквания е непрекъснат процес, всяка една организация може да намери полза в използването на въпросника. Процеси като оценка на риска, класификация на активи, анализ на сигурността и одити са периодични, което означава, че периодичното използване на въпросника е най-добрият подход на организациите решили да го приложат.