Наши новости

5 декабря 2018
Європейські стандарти захисту даних: що потрібно знати бізнесу
Новий регламент Євросоюзу щодо захисту персональних даних, який вступив у силу в кінці травня, приносить українському бізнесу більше питань, ніж відповідей. І якщо з абревіатурою GDPR керівники компаній вже звиклись, про співробітника з посадою DPO хоча б чули, то справжній жах вселяє ще одне нове слово з європейського регламенту – DPIA. Що це й чим загрожує? Чи такий страшний вовк, як їм лякають? Зараз будемо розбиратися і з'ясуємо кілька найголовніших питань. Давайте згадаємо ази. З кінця травня український бізнес активно обговорює новий регламент щодо захисту даних, який набув чинності в ЄС, – General Data Protection Regulation. Дане положення поширюється не тільки на резидентів Євросоюзу, але й на компанії з третіх країн, які обробляють персональні дані європейських громадян. Відповідно, під удар потрапляють і українські фірми, які пропонують товари й послуги громадянам і резидентам ЄС. Це можуть бути готелі, клініки, інтернет-магазини, служби поштових пересилань, банки, IT-компанії тощо. Також нові правила можуть торкнутися дослідних організацій, які через інтернет моніторять поведінку європейців. Змусити український бізнес впровадити стандарти GDPR ЄС поки не може, але в разі великої витоку даних штраф за недотримання правил може досягати 20 млн $, або 4% від загального річного обороту. Що таке DPIA? Ця, на перший погляд грізна, абревіатура розшифровується як Data Protection Impact Assessment, що в перекладі означає «оцінка впливу на захист даних». Якщо говорити конкретніше, то відповідно до частини 1 статті 35 Регламенту і (89)–(96) декларативної частини Регламенту ця процедура повинна допомогти виявити високі ризики, які можуть виникнути в процесі обробки персональних даних громадян Євросоюзу, і повинна бути ініційована до початку їх обробки. Логічно, що, якщо обробка почалася до набрання чинності GDPR, оцінку ризиків рекомендується ініціювати якомога раніше в поточному відрізку часу. Тобто, згідно з регламентом, це один із організаційних заходів, який необхідно провести на підприємстві, щоб впровадити стандарти GDPR. У яких випадках потрібно проводити DPIA? Виходячи зі своєї практики, моя порада: в будь-яких, якщо ви маєте справу зі збором і обробкою персональних даних європейців. Адже в бізнесі не буває зайвих запобіжних заходів, тут вже вам приймати рішення, чи ризикувати діловою репутацією та своїм дітищем у цілому. Але все ж є ряд ситуацій, коли DPIA необхідна як повітря. Відповідно до частини 3 статті 35 Регламенту DPIA необхідна: якщо тип обробки з використанням нових технологій може призвести до виникнення високого ризику порушень прав і свобод фізичних осіб; якщо систематично за допомогою автоматизованої обробки оцінюються великі масиви даних; якщо обробляються «чутливі дані» (про здоров'я, релігію, політичні погляди, біометричні дані) або персональні дані про судимості й кримінальні злочини. Хто, коли й як повинен проводити DPIA? Своїм клієнтам я раджу проводити оцінку до початку обробки персональних даних, тобто ще до запуску продукту. Якщо впровадження GDPR відбувається вже на етапі повноцінно функціонуючого продукту, то DPIA потрібно провести якомога швидше. Після цього процедуру варто повторювати при впровадженні нових технологій або організаційних заходів. Наприклад, якщо ви поміняли програмне забезпечення або спосіб зберігання даних. Складання рекомендацій щодо оцінки впливу на захист даних – один із невід'ємних обов'язків DPO (ч. 2 ст. 35 Регламенту). Згідно з регламентом, звіт повинен включати повний опис операцій по обробці даних і їх цілей, оцінку необхідності проведення кожного виду обробки, виходячи з принципу мінімізації даних, оцінку всіх можливих ризиків для європейських громадян, список заходів для подолання ризиків. Навіщо це потрібно? Найпростіша відповідь: це допоможе впровадити й дотримуватися стандартів GDPR. А відповідно, допоможе адекватно оцінити ризики й мінімізувати їх «за секунду до». А це, у свою чергу, вбереже ваш бізнес від багатомільйонних штрафів у разі витоку особистих даних користувачів. А якщо це станеться, у суді факт проведення компанією DPIA може стати вагомим аргументом на користь підприємства. Ну й ще один з менш очевидних плюсів: проведення перевірки додасть «зірочку» на погони вашої ділової репутації. Для європейських партнерів це буде вирішальним фактором співпраці, а для українців – авансом довіри до компанії, яка дотримується європейських стандартів захисту персональних даних. Підсумувати все вищесказане хочу улюбленим прислів'ям юристів: «Попереджений – значить озброєний». Витрачати свої гроші, час і ресурси на необов'язкову, на перший погляд, оцінку DPIA? Однозначно так! Навіщо? Тому що тільки таким шляхом ваш бізнес може планомірно й правильно впровадити європейський регламент GDPR. А це, у свою чергу, може допомогти вам завоювати європейські ринки й зберегти кругленьку суму в разі форс-мажору. Так що моя порада: довірте це питання сертифікованому DPO (офіцеру із захисту даних) і будьте впевнені в завтрашньому дні! БІЗНЕС Журнал 
Подробнее
22 ноября 2018
Прощайтесь с бумагой. Как перейти на электронный документооборот
Что дает бизнесменам переход на электронный документооборот и что нужно, чтобы это наконец сделать Отправили документ клиенту по почте, а он не дошел? Допустили в документе ошибку и нужно его переделывать, заново отправлять? Потеряли документ? Это обычное дело для бумажной документации. Бизнесы тратят огромные деньги на ведение бумажного документооборота. И самое главное - кучу времени. И если раньше без бумажек было не обойтись, то сейчас украинский бизнес может перевести документооборот в электронный формат. Есть много сервисов, доступных и малым, и крупным предприятиям, которые позволяют обмениваться с клиентами электронными документами. Это экономит время на их отправку и поиск, деньги, а также место в шкафу с бумагами. Однако многие предприниматели все еще боятся переходить на “цифру”. Одни опасаются проходить налоговые проверки с электронными документами, рассказывает руководитель торговой площадки Zakupki.Prom.ua Оксана Ферчук. А другим такой формат кажется сложным. “Налоговая не имеет права не признать документ только потому, что он электронный. Это закреплено в соответствующем законе об электронных документах и электронном документообороте, также электронные документы описаны в Налоговом кодексе. Даже если во время проверки требуют бумажную версию, все сервисы электронного документооборота позволяют легко распечатать необходимую копию. А вот страх сложности формата удается побороть первым отправленным документом”, - добавляет Ферчук. Начать вести электронный документооборот может и новый бизнес, и уже давно работающий. Последнему не нужно будет переводить в электронный формат уже накопленные документы. Юридический советник Nota Group Александр Герасько говорит, что бумажные документы должны будут просто храниться дольше в соответствии со сроками хранения соответствующих документов. Первое, что нужно бизнесмену - электронная цифровая подпись (ЭЦП). Ею можно подписывать все электронные документы: как коммерческие договоры, так и налоговую отчетность или документы, необходимые для работы с госорганами. ЭЦП можно получить в Аккредитованных центрах сертификации ключей, список которых можно найти на сайте Центрального удостоверяющего органа при Министерстве юстиций. Однако юрлицам ЭЦП выдают не все центры. Так, подпись можно получить в центре при Фискальной или Казначейской службе. Или же воспользоваться такой услугой в одном из банков, предоставляющих такую услугу. Стоимость оформления ЭЦП зависит от организации. К примеру, в центре при Казначейской службе сделают ключ бесплатно, в банках стоимость услуги от 100 грн. Если же бизнесмен уже работает и сдает налоговую отчетность через интернет, то ЕЦП у него точно есть. И его можно использовать в системах электронного документооборота. Далее бизнесмену стоит выбрать систему электронного документооборота. Их в Украине хватает. Есть и платные, и бесплатные. Есть такие, которыми можно пользоваться просто в браузере, а есть те, что можно интегрировать в корпоративные ERM/CRM-системы. К примеру, сервис Вчасно от группы компаний EVO работает прямо в браузере и устанавливать его как-то специально не нужно. Но можно интегрировать его во внутренние ИТ-системы. Тарифы зависят от количества документов, которые бизнес собирается обрабатывать. Так, при покупке пакета на 100 и больше документов стоимость обработки одного составит 90 копеек. Этот пакет действителен 3 года. Предприниматели, которые только начинают бизнес, могут воспользоваться сервисом договоров AXDRAFT Business, чтобы существенно сэкономить время на поиск, заполнение и формирование нужных договоров. Становясь клиентом онлайн-банкинга «Ок, Альфа!» от Альфа-Банка Украина, предприниматель получает бесплатный доступ к любым предзаполненным договорам, в которые нужно только внести некоторые данные (даты, реквизиты), заполнив онлайн поля с подсказками. Договор формируется автоматически. Сделав такой простой первый шаг в оцифровке бизнеса, следующим решением клиента наверняка будет переход к электронному документообороту. Что это дает LIGA.net попросила поделиться выгодами от перехода на электронный формат компанию Деливери и площадку Zakupki.Prom.ua. Логистическая компания Деливери начала пользоваться онлайн-сервисом электронного документооборота с июля 2017 года и подключать к нему своих клиентов. За год в компании зафиксировали такие показатели: снизилась нагрузка на бухгалтеров предприятия, сократились сроки проработки документов: раньше бухгалтер компании тратил на отправку одного документа 5-15 минут. Теперь в 5 раз меньше. электронный документооборот обходится Деливери в 7 раз дешевле, чем бумажный, учитывая затраты на почтовые услуги и бумагу. “Большим плюсом для клиентов компании является также возможность отслеживать все действия, производимые с электронным документом: кем и когда он создан, подписан, кому отправлен, какие изменения вносились в процессе. Это позволяет выстраивать прозрачные отношения как внутри компании – с сотрудниками, так и во внешних коммуникациях: с клиентами, партнерами и госорганами”, - говорит соучредитель Delivery Group Андрей Ивасив. Торговая площадка Zakupki.Prom.ua тоже перешла на электронный документооборот в прошлом году. С февраля 2017-го по февраль 2018-го площадка отправила более 300 тыс. документов. И сэкономила на этом: 5 млн грн, включая затраты на бумагу, печать, конверты, почтовые и курьерские услуги, оплату рабочего времени сотрудников. из них 2,4 млн грн - экономия на одних только почтовых расходах. “Преимущества электронного документооборота нужно рассматривать не только с финансовой точки зрения. Стоит отметить еще несколько моментов. Во-первых, сотрудники  могут работать над другими, более интересными задачами. Из их жизни почти исчезла рутина в виде печати, подписания, упаковки в конверты, наклеивания марок и массовых отправок десятков килограмм бумаги. Также больше нет случаев потери документов – все хранится в кабинете пользователя в сервисе. Сократились и сроки доставки: клиент получает на почту оповещение сразу же после отправки документа, еще за минуту может его подписать электронной цифровой подписью (сейчас – квалифицированная электронная подпись) и отправить обратно”, - добавляет Оксана Ферчук. Источник: Лига 
Подробнее
21 ноября 2018
Обыск: как подготовиться и вести себя во время визита «гостей»
Одно слово "обыск" вгоняет в ужас любого современного предпринимателя. И кто из вас присутствовал на обыске хоть раз в жизни, тот знает – с визитом незваных "гостей" действовать нужно молниеносно. Одно слово «обыск» вгоняет в ужас любого современного предпринимателя. И кто из вас присутствовал на обыске хоть раз в жизни, тот знает – с визитом незваных «гостей» действовать нужно молниеносно, ведь счет идет чуть ли не на минуты. Признаюсь – как юрист и адвокат, я люблю сопровождать обыски, люблю жесткие переговоры и делал это не один десяток раз. И, к моему сожалению, опыт показывает, что большинство компаний и их сотрудники не знают элементарных правил поведения при вторжении с обыском. Потому этот блог – «тревожный чемоданчик» для владельцев бизнеса. Как понять, что вы "на мушке"? Из своей практики могу выделить целый список факторов, которые намекают на приближение обыска. При этом каждый из них по отдельности может ничего не означать, но в совокупности они могут стать тревожным звоночком. Итак, давайте остановимся на каждом подробней: - Вы сотрудничаете с контрагентом бюджетного сектора или участвуете в публичных закупках. Дело в том, что сегодня государство активно борется с коррупцией и соответственно регистрируются уголовные производства в отношении должностных лиц госпредприятий, которые делают крупные закупки. Везде подозревают коррупционные схемы, всех участников в сговоре и занесение отката по результатам тендера. Потому я считаю, что участие в публичных закупках, работа с госсектором и бюджетными организациями -  это уже некий риск. В моей практике были случаи, когда зарегистрировано уголовное производство по ст. 3.6.4, 191 УК в отношении должностных лиц государственного предприятия, а за документами правоохранители приходили ко всем контрагентам этого предприятия, которые поставляли товары и предоставляли услуги в сфере ИТ. - В отношении должностных лиц вашего контрагента зарегистрировано уголовное производство или к ним уже приходили с обыском. То есть вы ничего не сделали, вы просто когда-то с ними работали и уже об этом даже благополучно могли забыть. Сейчас же в отношении той самой компании есть уголовное производство, например, по статье «фиктивное предпринимательство» или «мошенничество с финансовыми ресурсами». Правоохранителям может показаться, что часть средств, полученных преступным путем, потратили на вашу компанию или они были выведены через нее. - Ваша компания занимает ведущее место на рынке и имеет недобросовестных конкурентов. Особенно, если часть этих самых конкурентов принадлежит бывшим сотрудникам правоохранительных органов. Подстроенные обыски выбивают вас на какое-то время из игры, вы несете репутационные потери, также могут быть утеряны важные документы, остановлена деятельность компании, а сотрудники могут уйти к конкурентам. - Вы получили запрос от правоохранителей о предоставлении документов, а незнакомые лица интересуются у вахтера или охраны местонахождением компании. Два последних признака – это обычно то, что вас приближает к обыску. Особенно стоит насторожиться, если в запросе есть требование о предоставлении документов, подтверждающих право собственности или аренды офиса (склада) компании. Потому что задача правоохранителей перед получением определения суда на обыск узнать, где вы физически находитесь, где может быть имущество, документы, которые нужны для досудебного расследования. Как себя вести, если нагрянул обыск?  А теперь представим, что предвидеть обыск не удалось и к вам все же нагрянули. Ни для кого не секрет, что основанием для проведения обыска является определение суда. Но первым, кто встретит правоохранителей, может оказаться тот же вахтер или охранник. И велика вероятность, что он не будет знать, что делать. Я горжусь, что в нашей компании проинструктирована даже уборщица. А на мониторе у охраны всегда есть список всех компаний с контактами на случай обыска. Как только визитеры заходят в холл, охранник выясняет к какой компании пришли и звонит ответственному лицу. Дальше: чем быстрее вызовут адвоката – тем лучше. Его присутствие всегда влияет на поведения правоохранителей и сильно их дисциплинирует. Если же ваш защитник еще в пути, то сообщите правоохранителям, когда он прибудет и назовите его фамилию. Если не вспомнили номер адвоката сразу – просто сообщите о намерении воспользоваться правовой помощью. Напомню, что закон «Стоп маски шоу-1» позволяет привлекать адвоката на любой стадии обыска и запрещает следователю или прокурору не допустить его. Но это все в идеале. А теперь давайте представим себе ситуацию: у вас нет адвоката или он не может приехать быстро. Забегая наперед, хочу предупредить, что отсутствие защитника ваших интересов в течение трех часов не препятствует проведению обыска. То есть силовики могут приступить и без него. Потому важно запомнить пару несложных экстренных действий, с которыми вы сами справитесь без труда: - Проверьте правовые основания для проведения обыска: срок действия определения суда не должен превышать один месяц с даты постановления. - Сверьте правильность идентификационного кода компании и адреса. - Проверьте полномочия следователя или прокурора, который пришел с этим определением на обыск. - Вам вручают экземпляр определения суда о проведении обыска. Я рекомендую на втором экземпляре с указанием вашего ФИО написать, что вы его получил и что заявлено ходатайство о правовой помощи. Редко бывает, но, если правоохранители пришли с бесплатным адвокатом - стоит написать также, что вы от него отказались и указать фамилию того специалиста, которого ждете. Также укажите, что заявлено ходатайство о видео фиксации –закон «Стоп маски шоу-1» обязывает «гостей» это делать. - Мне часто задают вопрос «А могу ли я снимать на телефон?». Однозначный ответ - да, закон это не запрещает. Сразу скажу, это редко нравится правоохранителям. Более того - в уголовно-процессуальном кодексе есть ремарка, что следователь может вас попросить не совершать действий, которые препятствуют обыску. Тут стоит объяснить, что снимать вы будете с определённого расстояния, что мешать не будет. С другой стороны, телефон могут изъять, были случаи вплоть до выбивания его из рук. Также есть еще один важный момент – если вы уже собираетесь снимать на телефон, то вначале сьемки надо представиться, назвать устройство, с помощью которого ведется запись, время и место съемки, описать действие или нарушение, которое  фиксируется. Это поможет вам использовать видео в качестве доказательства неправомерных действий правоохранителей, за которые в дальнейшем можно будет потребовать компенсацию из бюджета – спасибо новому закону «Стоп маски шоу 2». Еще несколько важных моментов, которые стоит помнить: следователь/прокурор имеют право запретить любому лицу покидать место обыска, а также принять решение о личном обыске лиц, находящихся в месте проведения обыска. Личный обыск может проводиться только лицам одного пола – женщину может обыскивать только женщина.  Как вести себя при обыске? Как только вы получили информацию, что на вашем пороге «гости» – время действовать. В нашей компании система оповещения включается по всему офису, ее слышат абсолютно все, кто находиться в стенах бизнес-центра. И первый шаг при сигнале тревоги – выключить компьютеры. А перед этим рекомендую выйти из почтовых клиентов, мессенджеров, вытащить из устройств битлокеры и флешки. Следующий шаг – соберите все свои личные вещи (телефон, кошелек, деньги, паспорт, ключи и т.д.) и держите их при себе. Все это могут просмотреть только, если следователь примет решение в отношении вас персонально. Из ошибок, которые  видел своими глазами: сотрудники начинают паниковать, хватают ноутбуки и бегут их прятать … в буфет за холодильник. Это настораживает и порождает подозрения в ваш адрес. Или когда сотрудники в панике начинают выбрасывать в измельчитель бумаги какие-то договора, которые на самом деле выеденного яйца не стоят. При виде этого правоохранители обычно начинают личный обыск. Или, когда деньги выбрасывали из окон в сумке. Кстати по поводу денег. Если у сотрудника компании их нашли – лучше признаваться, что они ваши и говорить, что это - накопленная на что-то сумма (на машину/Мальдивы/подарок жене или любовнице и т.д.). Правда будьте готовы потом сходить на допрос и объяснить под протокол происхождение средств и почему они лежали на рабочем месте. Но это уже задача адвоката подготовить вас к допросу. Если же вы начнете отрицать, что найденная сумма ваша – будьте готовы, что этих денег вы больше никогда не увидите. Еще один важный совет - не оставлять «гостей» ни на секунду одних. Чтобы не заблудились или ничего своего не оставили. Не берите в руки вещи, которые вам не принадлежат. По закону правоохранители могут только один раз зайти в помещение. Как только они обыскали конкретную комнату и вышли из нее, рекомендую закрыть это помещение и не допускать повторного проникновения. Часто это условие нарушается под предлогом «Ой, мы еще забыли проверить там в шкафу…». Любые попытки повторного проникновения рекомендуется  фиксировать на видео и отображать как нарушение в протоколе обыска. Также важно, чтобы во время обыска никто из ваших сотрудников не общался с оперативниками даже на самые отстраненные темы. Правоохранители, а особенно сотрудники СБУ – отличные психологи. Они умеют найти нужные ключики к человеку, по испуганным глазам идентифицируют с кем лучше пообщаться, якобы успокоить. По моим наблюдениям особенно они любят поговорить по душам в курилке или просто выпить кофе с бухгалтером. Ну и последнее – не давайте никаких пояснений во время обыска. Часто правоохранители манипулируют необходимостью срочного допроса. Сообщите им, что готовы прийти на допрос со своим адвокатом, получив предварительно повестку за три дня, как это предусмотрено ч. 8 ст. 135 УПК.  Как себя обезопасить? Считаю, что к обыску должны быть готовы все, вне зависимости от того, чем именно занимается компания. Ваш юрист должен вас проконсультировать. Но если вы обходитесь собственными силами запомните простые правила: - Не храните на столе распечатанные копии конфиденциальных документов, соблюдайте правило чистого стола. - Не храните на компьютере лишнюю рабочую информацию – переносите ее в облако или на внешний сервер. Чем меньше на рабочем компьютере будет данных – тем лучше.  Не забывайте регулярно чистить рабочую почту. - Также я рекомендую всем, вне зависимости от масштаба бизнеса, разработать порядок действия на случай обыска. Проведите инструктаж среди сотрудников, проведите аудит информационной безопасности. Ну и последнее – чтобы не «гуглить» в момент обыска контакты правозащитников, лучше заранее подготовиться и заключить договор с адвокатом, которому вы можете доверять.  Ведь предупрежден – значит вооружен, потому не пренебрегайте простыми превентивными мерами и затраты окупятся потом с лихвой! Источник: Лига. Блоги
Подробнее
6 ноября 2018
6 СПОСОБОВ МОТИВИРОВАТЬ СОТРУДНИКА БЕЗ ДЕНЕГ
"Только два стимула заставляют работать людей: жажда заработной платы и боязнь ее потерять", — сказал когда-то легендарный "отец" автомобилей Ford Генри Форд. И тогда он, возможно, был абсолютно прав, но времена меняются, и сегодня я возьму на себя смелость с ним поспорить. В современном мире физический труд отошел на второй план и в большинстве компаний трудятся бойцы интеллектуального фронта. Деньги и страх больше не мотивируют этих людей. Ведь дефицита предложений на рынке вакансий давно нет, а финансовая сторона стала чем-то самим собой разумеющимся. К тому же любая финансовая мотивация может заставить сотрудника безукоризненно выполнять задачи, но вряд ли поможет культивировать в нем креатив и желание проявлять инициативу. Потому сегодня перед кадровиками стоит непростая задача — мотивировать персонал на великие свершения, не прибегая к банальным рычагам давления. Исходя из своего опыта, делюсь с вами шестью самыми эффективными, на мой взгляд, подходами мотивации сотрудников. №1 АКТИВНОСТИ И ЛИЧНОСТНЫЙ РОСТ Нет, речь сейчас пойдет вовсе не о корпоративных гуляниях. Из моей практики шумные посиделки обычно производят краткосрочный эффект, впечатлений и запала хватает ненадолго. То есть без корпоративов сегодня дело не обходится, конечно, но вы должны дать своему сотруднику что-то большее, что он захочет вернуть компании вдвойне. Мой рецепт — предложить выбрать любые мастер-классы или курсы, которые работник давно хотел пройти. Одно единственное условие — чтобы полученные знания прямо или косвенно можно было применить в работе. Например, мои подопечные юристы захотели интенсивный тренинг по продажам. И результат не заставил себя долго ждать: плюс один клиент сразу по окончанию первой лекции. Другой пример: если ваш копирайтер хочет освоить искусство обработки фото — смело отправляйте его на эти курсы. Впоследствии он сможет не только писать вам хорошие тексты, но и самостоятельно подбирать и обрабатывать визуальный контент к ним. №2 ПОДДЕРЖКА СО СТОРОНЫ НЕПОСРЕДСТВЕННОГО РУКОВОДИТЕЛЯ Какой бы гонорар человек не получал, насколько бы интересным не было содержание его работы, если отношения с руководством не выстроены, человек вскоре покинет компанию. Начальник, который не дает качественной обратной связи, не способствует профессиональному росту сотрудника, ведет беседы исключительно в демотивирующем тоне, является одной из главных причин, по которой бизнес теряет ценных специалистов и тратит затем внушительные ресурсы на привлечение новых. Неопытные руководители полагают, что путь к мотивации сотрудников лежит через угрозы вроде "если не закроешь проект вовремя, лишу тебя премии". По их мнению, это жестокий, но быстрый и эффективный способ повысить вовлеченность. Обычно к таким приемам прибегают руководители, которые не уверены в себе или боятся, что компанию ждет упадок. Поэтому они вымещают негатив на подчиненных. Угрозы уволить, лишить премии или сократить зарплату лишь передают этот страх сотрудникам, что вряд ли положительно скажется на эффективности. Станьте образцом и примером для сотрудников, мотивируйте их к росту, возвращайтесь с качественной и полезной для сотрудников обратной связью, будьте корректны и учтивы, мыслите стратегически, находите к каждому индивидуальный подход. Только тогда ваши подчиненные пойдут за вами, а продуктивность их работы, как командной, так и личной, увеличится в разы. №3 ГЛУБОКАЯ КОММУНИКАЦИЯ Тут я вам Америку не открою — максимально продуктивная работа на результат может быть только при условии комфортной обстановки внутри коллектива. Сотрудники должны не только быть лояльны друг к другу, но и быть по-настоящему дружны. И тут задача HR-экспертов заключается в том, чтобы познакомить людей друг с другом поближе. Чтобы коллеги были не только эфемерными членами команды, но также отдельными личностями с эмоциональной привязкой. Для этого нужно проводить как можно больше совместных неформальных встреч. А еще лучше — сделать их традицией. Например, пятничный боулинг или игры в мафию по четвергам. Еще одна маленькая хитрость — сделать в офисе побольше совместных пространств. Это должны быть места, где сотрудники пересекаются ненамеренно и могут пообщаться на отвлеченные темы. Например, комфортные диваны в комнате для отдыха или стойка с кофемашиной в укромном месте. №4 АЗАРТ И ДУХ СОРЕВНОВАНИЯ Еще один прием для нефинансовой мотивации сотрудников — учреждение легких рабочих конкурсов. Хороший кейс для отдела продаж: менеджер, который первым закроет месяц, получит, к примеру, прогулку на яхте с семьей по Днепру. В зависимости от вида бизнеса, возраста и семейного положения сотрудников условия и призы могут меняться. Но! Очень важно с этим не переборщить, ведь от рабочего азарта до жесткой конкуренции — один шаг. Потому поощрение должно быть не слишком "заоблачным", чтобы проигравшие не расстраивались. При этом оно должно быть достаточно приятным бонусом, чтобы ради него стоило постараться. Еще один нюанс — конкурсы и подходы нужно постоянно менять, чтобы не превращать их в рутинную работу и у сотрудников не пропадал запал. №5 ЧЕЛОВЕЧЕСКИЙ ФАКТОР Этот блок рекомендаций придется кстати руководителям. И первая из них — используйте систему неожиданных поощрений. Это вознаграждение без каких-либо условий и обещаний. Ведь, согласитесь, приятно, когда за хоть и качественную, но рутинную работу ты получаешь неожиданный бонус? Это повышает мотивацию работать еще лучше и оправдать доверие, а также лояльность к компании в целом. Тут тоже есть три условия — сотрудники не должны повторяться, их работа должна быть выполнена на высоком уровне, а сами поощрения не должны происходить очень часто. Следующий совет руководителю — уделяйте подчиненным достаточно внимания. В крайнем случае, используйте правило "30 секунд" из психологии — при встрече уделите это время коллеге целиком. Похвалите его за что-то, подбодрите или просто сделайте комплимент. Это тоже мотивирует его на лояльное отношение к начальству и даст понимание, что его ценят и уважают. №6 ИГРОВАЯ ФОРМА ТРУДА Да, да, да порой это как с детьми! Сотрудников нужно заинтересовать и держать их внимание во что бы то ни стало. Для этого необходимо создать на рабочем месте такие условия, чтобы человеку хотелось там находиться, а не сбежать поскорее домой. Мировые корпорации давно уже это смекнули и сделали свои штаб-квартиры похожими на парк развлечений: например, все офисы Google напичканы игровыми автоматами, приставками, кабинами для сна и прочим. Там можно во время рабочего дня отвлечься на занятие йогой, а на работу приходить в чем вздумается. Подобный опыт перенимали и другие отраслевые гиганты: были кейсы, где на работу разрешалось приходить в пижамах или даже гулять по офису босиком. У всех этих приемов одна благая цель: чтобы человек не относился к работе как к неизбежной тягости, а чувствовал себя непринужденно и "как дома". Тогда продуктивность его труда возрастает в несколько десятков раз. От себя добавлю: все это хорошо, но с маленькой оговоркой. Такие системы мотивации хороши, но только не для сотрудников, которым приходится ходить на деловые встречи и посещать по долгу службы официальные мероприятия. В таком случае, исходя из своего опыта, могу посоветовать обойтись хотя бы минимальными мерами: вкусная и разнообразная еда, комната отдыха в офисе, несколько настольных игр, например, и уютные рабочие места. Подытожить все вышесказанное хотелось бы цитатой еще одного известного автомобильного магната и основателя компании Honda Соичиро Хонда: "Люди работают напряженнее и более инновационно, если их не принуждают". И вот с ним я, пожалуй, соглашусь, потому что активная, эффективная и креативная команда — это львиная доля успеха любого проекта. Шантаж деньгами и увольнением, как показала практика, такую команду выстроить совсем не помогает. Потому золотой ресурс любого бизнеса — это лояльные, свободные и высокомотивированные сотрудники. Источник: ТСН.Блоги
Подробнее
29 октября 2018
С приветом из Европы: готовы ли наши бизнесмены к штрафам по GDPR
GDPR — это, наверное, самая громкая законодательная мера в области защиты данных человека в новом тысячелетии. 25 мая соответствующий регламент вступил в силу в странах ЕС и ЕЭЗ. В Украине были слышны лишь отголоски этого события. Например, когда основатель Facebook Марк Цукерберг “отчитывался” перед европарламентариями за проколы по сохранению информации о своих пользователях, его тоже спрашивали про GDPR. А гуру соцтеха недоумевал и убеждал, что все будет окей. Поэтому GDPR (EU General Data Protection Regulation) воспринималась нашими согражданами как некая правовая заморская диковинка, за которой можно понаблюдать, уютно устроившись у себя в кабинете в кресле. Как будто ты смотришь в аквариум, где маленькие, но юркие рыбки накинулись на живой корм. Но, как оказалось, своеобразное местное затишье может выйти боком. Призрак или реальная опасность? В первые месяцы большинство европейских структур по защите данных дали лицам, которые обрабатывают и хранят чужие данные, время на подготовку. Жара началась лишь осенью, когда появились новости о принятии решений по первым штрафам. Как заявил недавно Наблюдатель в сфере защиты данных в Европе Джованни Буттарелли, он ожидает, что о первых штрафах (или других дисциплинарных санкциях) будет слышно лишь к концу года.  Правда, уже есть и первые ласточки. Например, европейцы уже подсчитали, что могут оштрафовать Facebook на $1,6 млрд за недавнюю утечку данных 50 млн аккаунтов, 10% из которых могут быть из ЕС. Так вот, пока европейские компании готовятся соответствовать новой политике по защите данных или придумывают, как уберечь себя от штрафов, в украинском бизнесе в этой сфере мало что происходит. А зачем? Бытует мнение, что только IT-компании, работающие на европейских рынках, сейчас должны суетиться, так как имеют дело с большим количеством пользовательских данных и иностранными заказами. И IT-шники действительно суетятся. Но практически никто не осознает, что GDPR коснется огромного количества украинских бизнесов, которые, казалось бы, вообще никакого отношения к европейцам не имеют. Кого касается? Елена Колченогова, специалист в сфере защиты персональных данных и юрист консалтинговой компании Nota Group, описывает бизнесы, которых могут затронуть санкции, очень лаконично: “Нормы распространяются в Украине на компании, которые предлагают товары и услуги субъектам данных в Европе, неважно на платной или бесплатной основе”. Кто такие субъекты данных? Это физические лица, которые там проживают: резиденты и граждане ЕС. “В зоне риска оказываются достаточно большое количество бизнесов, которые касаются транспорта, медицины, страхования, туризма, IT, банковских сервисов, торговли и прочие”, - подчеркивает Колченогова. Также новые нормы распространяются на компании, которые осуществляют мониторинг данных этих людей в интернете, т.е. отслеживание в сети через онлайн-идентификаторы (cookies-файлы, IP-адрес пользователя - что, кстати, тоже относится к персональным данным в соответствии с регламентом). Скажем, европеец зашел на страничку интернет-магазина, где есть определенный перечень услуг. Информация о том, что он посещал этот сайт у онлайн-площадки сохраняется. Следовательно, у процессора (оператора) этой онлайн-площадки возникают требования по соблюдению обработки данных, предусмотренные регламентом. Понятное дело, что таким сайтом, собирающим информацию, может быть не только интернет-магазин, но и, к примеру, местный украинский онлайн-сервис по продаже билетов Укрзалізниці, которым решил воспользоваться гражданин какой-нибудь западной страны. Помимо данных о посещении у государственного предприятия окажутся в распоряжении его дополнительные личные данные - фамилия и имя. Если это будет авиабилет, купленный у украинской авиакомпании онлайн, то к этим личным данным может еще добавиться номер паспорта, возможно, предпочтения в еде на борту, родственниках, номерах карт и так далее. Финансовый процессинг операции по покупке этого же билета будет осуществлять украинский банк, который тоже обязан будет обрабатывать и хранить персональные данные об этой транзакции в соответствии с требованиями регламента. Иными словами, в сети может сохраняться довольно большое количество предпочтений и особенностей поведения пользователей. “SEO-специалисты и маркетологи отслеживают, с какого сайта клиент пришел, трассу его поведения на своем сайте и на какой ресурс он отправился дальше. Это помогает создавать портрет пользователя - ценные данные для любого маркетолога”, - рассказывает R&D директор компании ИТ-Интегратор Владимир Кург. Поэтому интернет-маркетологам сейчас есть над чем подумать, чтобы не потерять свой любимый инструмент. Также регламент GDPR распространяется на те компании, которые имеют представительства в странах ЕС. Это может быть и отдельное юридическое лицо, и филиал, и просто департамент. Или даже просто физическое лицо, которое является агентом, предоставляющим услуги. Какая ответственность? Штрафы в размере 2% от общего глобального годового оборота или 10 млн евро(в зависимости от того, что больше) за необеспечение защиты, нарушение сроков уведомления/неуведомление наблюдательного органа или субъектов данных, не назначение DPO в случаях, требующих обязательного назначения, нарушение обработки данных детей как субъекта данных. Штрафы в размере 4% от годового оборота или 20 млн евро (в зависимости от того, что больше) в случае нарушения основных принципов обработки данных, прав субъектов, передачи данных в третьи страны. Такую санкцию можно получить, например, за допущение утечки данных или необеспечение защиты. Кстати, Facebook европейцы сейчас хотят подвести именно под эту норму. Как подчеркивает Елена Колченогова, в Европе законодательство в сфере защиты персональных данных не ново - ему уже более десятка лет. В Украине у нас тоже есть профильное законодательство. Но из-за маленьких штрафов никто сейчас не обращает внимание на обработку персональных данных и тем более их защиту. У нас это максимум тысячи гривен. Как европейская санкция может быть применима к Украине? Сначала судебное разбирательство проходит на территории ЕС. “В Украине еще не было такой практики, и поэтому мы не можем точно описать, как это будет работать”, - говорит Елена Колченогова. Но, скорее всего, в нашей стране разбирательство будет “приземляться” с привлечением Уполномоченного ВР Украины по правам человека, поскольку данное должностное лицо осуществляет функции контроля по защите прав человека, в том числе персональных данных. Если в европейских судах уже будет вынесено решение, то через стандартную процедуру признания решения международных судов, утвержденную процессуальным законодательством Украины и двусторонними международными договорами, она будет осуществляться у нас. Что делать, если есть такие риски? С чего начать, чтобы обезопасить себя от претензий со стороны европейских потребителей? Сам регламент GDPR определяет организационную и техническую составляющую. Как раз к организационной части относится больше юридических аспектов. Шаг первый. Для начала нужно определить, подпадает ли бизнес под GDPR или нет. Для этого в компании резонно провести специальный аудит. Шаг второй. Если ответ утвердительный, то предстоит поработать как с бумажками, так и внедрить через технические средства защиты требования GDPR.Сначала нужно назначить в компании ответственного за соблюдение его норм или нанять такого человека на аутсорс. Это так называемый Data Protection Officer (DPO). Он будет обучать персонал, давать рекомендации и контролировать соблюдение требований регламента в компании. “Регламент не устанавливает четкие требования к квалификации DPO. Подчеркивается, что такой специалист должен иметь опыт работы и соответствующие знания. Как правило, такой специалист (Data Protection Officer) обязателен, если бизнес масштабно и регулярно обрабатывает персональные данные. DPO может быть как в штате, так и на аутсорсе. Однако, чем больше опыта работы, тем более квалифицированную помощь специалист способен оказать. В связи с чем функции DPO может выполнять правовой и технический консультант на аутсорсинге”, - подчеркивает юрист Nota Group. Шаг третий. Внедряются и соблюдаются основные принципы обработки данных (принцип законности, точности, прозрачности, минимизация данных, хранение данных не более срока, необходимого для обработки данных). Рекомендуется вести реестр (записи) обработки данных. Это тоже ключевой критерий, когда в компании определяется, какие и чьи данные она обрабатывает, кому их передает. Если в компании более 250 сотрудников, такой реестр является обязательным. “Если субъект - гражданин или резидент стран ЕС - обратился к вам относительно данных, которые вы обрабатываете, вам будет проще и быстрее предоставить такую информацию при ведении подобного реестра данных”, - подчеркивает юрист. Шаг четвертый. Далее необходимо назначить представителя в европейских странах. Если компания в Украине осуществляет услуги или предоставляет товары европейцам, но у нее нет представительства в Европе (например, это украинский интернет-магазин), она должна назначить такого представителя. Это может быть как физическое, так и юридическое лицо. Например, юрфирма, которая имеет контактное лицо в ЕС. Шаг пятый. Для компании в целом разрабатываются специальные политики конфиденциальности, условия использования данных, договорные положения с контрагентами, уведомления для субъектов данных об обработке их данных, корпоративные правила. По своей сути корпоративные правила являются пошаговой инструкцией по работе с данными. В таких документах должно быть также четко прописано, какими правами владеют граждане и резиденты Европы. Среди них право на доступ к своим персональным данным, право запретить обработку персональных данных, приостановить, удалить их. Особенностью обязывающих корпоративных правил является то, что они удобны для холдинговых компаний, если структура состоит из нескольких юрлиц под зонтиком одного акционера. При этом один может находиться в Польше, другой в Украине, третий в Испании, но все соблюдают одни и те же правила. Кодексы и правила можно утверждать самостоятельно. Но чтобы подтвердить, что они соответствуют регламенту, нужно пройти процедуру согласования в наблюдательных европейских органах. Это длительный процесс. Крупные мировые компании уже его проходили. И на сайте ЕС даже есть перечень таких компаний, чьи корпоративные правила утверждены европейским наблюдательным советом. Шаг шестой. Проведение IТ-аудита, устранение брешей в системе информационной безопасности, разработка правил в этой сфере. Во сколько обойдутся услуги компании, которая будет сопровождать бизнес по GDPR? Как объясняет юрист Nota Group Елена Колченогова, бизнес-процессы у каждого предприятия свои. Поэтому сложно сказать, какой объем данных обрабатывает компания. Для этого-то сначала и требуется аудит. Нужно быть готовым потратить где-то $100 в час на группу юристов, которые будут внедрять GDPR в ваш бизнес. Если компания занимается обработкой данных масштабно и регулярно, то цифры могут быть другими. Владимир Кург добавляет, что параллельно запрашивается информация об обрабатываемых данных в юридическом отделе и у IT-шников (либо службе IT-безопасности). К последним вопрос следующий: какой у нас объем персональных данных, подпадающих под данную регуляцию? А именно: сколько в системе записей о физлицах из ЕС, какой объем информации связан с этими людьми? Дальше уже принимается решение. “Смотрим, сколько записей. Сравниваем максимальную санкцию со стоимостью услуг, которые может предоставить юрист”, - уточняет Кург. Цель - не потратить больше. Как реализуется техническая часть? Помимо бумажной юридической части, при подготовке к GDPR невозможно обойтись без ряда процедур в IT-системах. Здесь тоже нужно навести марафет. Главное - знать, с чего начать. Как отмечает Владимир Кург, у данных в любом бизнесе есть три состояния. 1. Data in rest - хранимые, неактивные данные. Это бэкапы, в которых хранятся все данные. Они могут находиться на локальной системе или в облаке. Дальше вопросы. Могут ли утечь такие бэкапы из облака? Прецеденты бывают. Что в этом случае делать? Самое простое - шифрование при создании бэкапов. Бэкапы - приоритет №1, потому что в них содержится весь набор корпоративных данных, включая персональные. И цена одного единственного инцидента максимальна. 2. Data in use - данные в обработке. Должно быть понимание, какой доступ к данным есть у сотрудников и клиентов. Нужно проаудировать систему на предмет того, какой объем данных может получить сотрудник, если предположить, что он недобросовестный. На уровне администратора баз данных в компании можно реализовать принцип “наименьшее необходимое знание” или “наименьший необходимый доступ”, объясняет Владимир Кург. Типичный пример: в большинстве систем управления базами данных можно включить маскировку полей для определенной пользовательской группы. “Людям из колл-центра, которые принимают звонки, надо знать имя обращающегося, откуда он звонит, какой продукт он купил или каким уже владеет. Поэтому достаточно замаскировать поля фамилии, даты рождения, точного адреса, номеров кредиток и т.д. И для данной роли пользователя обеспечивается безопасность персональных данных”, - рассказывает R&D директор ИТ-Интегратор. Еще одни “страшные” люди для data in use - аналитики и маркетологи. Они хотят иметь массивные отчеты, полный набор “исторических” данных. Чтобы снизить риски работы с персональной информацией о клиентах, есть два варианта. Первый - маскировка, как в примере выше. Второй - псевдоанонимизация, когда конкретные имена и адреса замещаются псевдонимами. Увидеть связь псевдонима с реальными данными могут только уполномоченные лица. Все это должно расписываться в протоколах и процедурах обработки. 3. Data in motion – это данные в процессе передачи. Здесь есть угроза прослушивания трафика. Риски здесь значительно меньше, так как технически это сделать труднее: в первую очередь – идентифицировать нужный поток. Но если, к примеру, резервное копирование идет в облако в незашифрованном виде, то на уровне провайдера можно скопировать большую часть сессии. Или, приложив дополнительные усилия, даже всю. То же касается и “прослушки” web-сессий пользователя по http. Но не по https, поскольку в этом случае сессия шифруется. Резюме Смысл не только в том, чтобы обезопасить себя документарно. Нужно еще это внедрить и соблюдать. “Фаза №1 и самая главная - просчитайте риски. Если они небольшие, не заморачивайтесь. Стоимость защиты данных должна сопоставляться с рисками нарушения их защиты”, - подчеркивает Владимир Кург. Идеальная модель для многих бизнесов после проведения аудита и осознания, что они в группе риска, - отдать GDPR на аутсорсинг. Это сродни тому, когда человек покупает страховку для поездки в Европу. Как известно, ее можно и не покупать. Но лучше подложить соломы на всякий случай. Ведь за медицинские услуги в западных странах потом не рассчитаешься, точно так же как и не отвертишься от штрафа в 2-4% от оборота, когда местные суды уже “приземлят” европейское решение по какой-нибудь незначительной, по нашим меркам, кляузе европейца. Источник: ЛИГА 
Подробнее
2 октября 2018
КОРПОРАТИВНАЯ БЕЗОПАСНОСТЬ: ИНСТРУКЦИЯ ПО ВНЕДРЕНИЮ В БИЗНЕС
Что для вас корпоративная безопасность? Это охранники на входе? Система видеонаблюдения? Штатный юрист или генерал-майор, охраняющий ваш покой? Я, как специалист в данной сфере, могу сказать, что все это – давно устаревшие инструменты, которые уже не могут обеспечить ваш спокойный сон и уверенность в завтрашнем дне. Сегодня построение корпоративной безопасности на предприятии – процесс сложный, длительный, структурный и комплексный. И в первую очередь — это прогнозирование и идентификация проблем. Важность в том, чтобы заранее понимать, что надвигается буря, точно знать куда может ударить молния и не допустить возникновение кризиса. Правильно, чтобы функцию корпоративной безопасности внедряла группа профессионалов.  В нее входят и финансисты, и юристы, и работники служб безопасности. Процесс этот начинается с аудита – фундамента, а потом по кирпичику выстраивается не один день. Описать в этом тексте каждый шаг – невозможно, но я постараюсь рассказать про самые доступные инструменты внедрения корпоративной безопасности, которыми можно воспользоваться уже сегодня. Это не означает, что теперь ваш бизнес в безопасности, но лишними они точно не будут! ВИДЫ УГРОЗ. Все угрозы можно поделить на внешние и внутренние. Как бы не было печально, но часто самое большое зло извне для украинского бизнеса - это государство в лице правоохранителей, фискалов и контролеров. Еще одна не менее серьезная внешняя угроза - криминальные структуры, конкуренты и «промышленные шпионы». Если вы считаете, что «братки» из 90-х канули в лету, то, к сожалению, это не так. Вот вам свежий кейс: к нам обратился собственник бизнеса, к которому пришла группа лиц с требованием переоформить одну из своих структур на их аффилированную компанию. Вы думаете, что такие сценки остались только в фильмах, а это – все еще наша с вами реальность. Единственная разница – малиновые пиджаки заменили дорогими костюмами. Пример еще одной внешней угрозы - уволенные или недовольные сотрудники. Надо всегда помнить, что работник уходит с определенным объёмом информации. А если к этому добавить гнев и жажду мести – ситуация представляет собой серьезный источник угроз. Также риски существуют всегда, когда есть открытые обязательства перед кредиторами или поставщиками. Внутренними угрозами является все, что происходит внутри бизнеса. Это осознанные или неосознанные действия сотрудников, которые могут нанести ущерб, повлечь за собой утечку конфиденциальной информации или подорвать деловую репутацию. При построении функции корпоративной безопасности на предприятии важно охватить три направления: информационная безопасность, юридическая и физическая. Только так можно полностью обезопасить себя и предприятие от возможных угроз. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. Она подразумевает защиту конфиденциальной информации и коммерческой тайны. И первое, что мы делаем в этом блоке – определяем, какая именно информация является конфиденциальной для нашего бизнеса. Каждый сотрудник должен иметь доступ только к тем данным, которые необходимы ему для выполнения служебных обязанностей.  Также важен режим их хранения. Как вы обычно храните информацию на бумажных носителях? На столе? В тумбочке? В сейфе? Моя рекомендация - документы, особенно правоустанавливающие на материальные активы, должны быть на сбережении у адвокатов. Это блокирует несанкционированное проникновение при заходе контролеров-фискалов и защищает от злоупотреблений сотрудников. Также каждый сотрудник при приеме на работу должен подписывать обязательство о неразглашении конфиденциальной информации. По закону за нарушение такого договора полагается уголовное наказание, плюс каждый работодатель может определить денежный штраф за утечку. Не лишним будет прописать и правила рабочего места для сотрудников. Да,  для многих это банальные вещи. Я знаю случай, когда при появлении «маски-шоу» в помещение финслужбы, у всех сотрудников на мониторах оказались приклеены листочки с паролем и логином. Второе правило – правило чистого стола. Это касается как электронных носителей, так и бумажных. По-хорошему, я рекомендую исключить возможность использования «флешек» рядовыми сотрудниками, только с согласия руководителя либо сисадмина. Обратить внимание нужно и на порядок использования электронной корпоративной почты. Первое правило, которое должны знать сотрудники – корпоративная почта является собственностью компании. У нас в практике был пример: сотрудник, находясь на рабочем месте, высказался негативно на форуме об одном высокопоставленном чиновнике. И через месяц в компанию поступил иск о защите чести и достоинства деловой репутации с компенсацией в несколько миллионов гривен. Пренебрегать нельзя и антивирусной защитой. Это касается по большей части сисадминов, однако рядовые сотрудники тоже должны знать, как реагировать при первых признаках заражения системы. ЮРИДИЧЕСКАЯ БЕЗОПАСНОСТЬ. Помимо вышеупомянутого режима хранения документов, важно вести паспорт активов. Если на предприятии их много, то вероятнее всего постоянно происходят какие-то обновления статусов. Мой совет – актуализацией данных должен заниматься отдельный человек. В юридическую безопасность входит и проверка людей при приеме на работу. А это крайне важный аспект в построении функции корпоративной безопасности. Особенно это касается ответственных позиций и тех, кто будет иметь дело с финансовыми ресурсами. Потому что резюме может быть неполным, недостоверным и вообще неизвестно с каким «шлейфом». И еще: не забывайте вести реестр судебных решений и уголовных производств. Сегодня это абсолютно открытая информация и лучше мониторить ее регулярно. Чтобы вдруг не оказалось, что ваш бизнес вовсе уже и не ваш, а принадлежит каким-то другим лицам. В это же направление я включаю, конечно же, работу с дебиторской задолженностью. Тут все просто: важно не пропускать просрочки такой задолженности и на этапе преддоговорной работы проверять контрагентов на предмет их платёжеспособности и надежности. АДМИНИСТРАТИВНАЯ БЕЗОПАСНОСТЬ. Банально, но вы должны быть уверены, что ваши материальные ценности находятся в целостности и сохранности. Есть офисные, и есть складские помещения, режим доступа к ним должен быть строго определен. Да, комплексное внедрение всех перечисленных мной мер - недешёвое удовольствие. Да, оно влетит вашей компании в копеечку. Да, на первый взгляд это может показаться необоснованной тратой средств. Но скупой, как известно, платит дважды. Поверьте, как показывает практика, затраты на построение функции корпоративной безопасности окупаются при первой же проверке. Не рискуйте своим бизнесом, обратитесь к специалистам! Источник: ЛІГА.Блоги
Подробнее
21 августа 2018
Учим детей английскому: советы от бизнес-мам
Успешные бизнесвумен и по совместительству заботливые мамы рассказали, как сделать так, чтобы языковой барьер не стал ограничением в карьере нашего будущего лидера. Каждый родитель мечтает, чтобы его малыш покорил мир и стал настоящим лидером. И в этом без знания английского ему не обойтись. Так с какого возраста лучше начинать заниматься с ребенком иностранным языком и как развить интерес к его изучению? САМЫМ МАЛЕНЬКИМ. По словам вице-президента компании «ИТ-Интегратор» Надежды Омельченко, формирующая среда для ребенка начинается с самого рождения: «До словесной основы языка закладывается сначала слуховая. Потому очень важно, чтобы малыш слышал английскую речь, пусть даже пока и не понимал. И важный первый этап - выучить язык самим родителям. Тогда они смогут разговаривать с дитем, петь ему песни и колыбельные на английском. Если же язык вы еще не выучили, можно время от времени ставить ребенку английские песенки в записи или включать мультики на английском. В любом случае с этим советую поторопиться, потому что более серьезное изучение языка можно начинать уже с трех лет и лучше не ограничивать обучение ребенка только кружками или репетитором». Генеральный директор Nota Group Татьяна Андрианова советует переводить обучение в игровую форму, когда ребенок немного подрастает: "Например, мы собирали английские слова из кубиков. А еще придумали сказку про кота, который приехал из Англии и говорил только на английском. И постоянно попадал в разные ситуации, а ребенок подсказывал, что должен сказать котик, чтобы их решить. Потом у нас появилась игрушка – она выглядит как шар, который можно друг другу бросать. Говоришь в него английское слово, бросаешь ребенку, он слушает слово и повторяет его вслух, ну а дальше уже его очередь сделать то же самое и кинуть шар маме или папе". Согласна с ней и Надежда Омельченко: "Если родители говорят на английском хотя бы минимально, то любая игровая ситуация становится обучающей. Например, можно устраивать английское чаепитие с куклами или поиграть в «Формулу-1». Но тут нужно учитывать, что у дошкольников лимит внимания – не более 10 минут. Это значит, что вид развлечений придется менять очень часто. Также мы с дочкой поем вместе песни или слушаем английские курсы пока едем в машине. А с детьми постарше можно разрабатывать лексику, играя в Элиос или Показуху на английском". МОТИВАЦИЯ. Чем старше становится ребенок, тем сложнее родителям находить правильные аргументы в пользу дополнительных уроков. И тут наши бизнес-мамы сошлись во мнении, что важно чуток мотивировать и вдохновлять свое чадо. Надежда Омельченко говорит: "Важно показать малышу, что английский – это не какой-то непрактичный предмет, а очень даже применимый. Он должен понимать, что язык пригодится не когда-нибудь в будущем, когда мы поедем в другую страну, а на нем говорят прямо здесь и сейчас. Тогда для него станет естественным разговаривать на английском, пусть даже с ошибками. Методика заучить-написать с детьми не работает, язык должен быть легче и проще. Вот вам один из эффективных приемов: в зависимости от возраста и интересов выбираем лексику определенного места или вида деятельности. Например, сначала учим все об аквапарке, канатном парке или танцах, а потом идем с ребенком в это место пробовать все на практике. Отличная мотивация!" Такого же мнения придерживается и Татьяна Андрианова: "У нас в семье разработана система мотивации. Например, если ребенок просил купить шоколадку – он должен был сказать название сладости на английском языке. В более старшем возрасте отлично работает погружение в среду. Есть поездки, где ребенок живет в английской семье и, естественно, общается с ними только на английском. Такая поездка за месяц дает больше, чем год изучения языка в стране. Еще дома мы сейчас играем в монополию на английском языке. То есть учимся не только считать, вести бюджет, но и параллельно изучаем язык. А с недавних пор мы делаем всей семьей по утрам зарядку и названия всех упражнений говорим на английском". Источник: Ivona
Подробнее
17 августа 2018
А ось і перші порушники GDPR
20 липня CNIL, орган, відповідальний за GDPR-страшилки у Франції, видав перші 2 попередження за порушення GDPR. Перші 2 в історії за перші в історії (виявлені) порушення. Прилетіли такі попередження стартапам — Fidzup та Teemo. Компаніям із непоганим портфелем венчурних інвестицій, призначеними посадовими особами із захисту персональних даних та пафосними релізами про GDPR-комплаєнс. Ці попередження — чудова можливість для юристів озброїтися раціонально-практичними аргументами: для чого готувати тонну документів та рекомендацій, пов’язаних з GDPR. Кому першому не пощастило Давайте чесно, ми всі чекали, коли хтось попадеться. Багато хто тримав пальці схрещеними “тільки не нас, тільки не нас”. І ось перші попалися. Обидві компанії — не випадкові мішені невблаганного фатуму. Погодьтеся, регулятору було важко пройти повз гучні маркетингові заяви, на кшталт “4 долари за тисячу користувачів для вашого сайту” або “4 тисячі доларів за мільйон користувачів”. Чи то така політика, чи то попередній скандал з Cambridge Analytica привернули увагу до обох стартапів. Але обидва стартапи, описані як схеми “заплати-за-дані” (pay-for-data), уже давно були в полі зору медіа. Про них писали BuzzFeed, обидві компанії потрапили до Звіту Yale Privacy Lab — Єльського гуртка за інтересами, пов’язаними з персональними даними. Де, крім цих компаній, також згадувалися DoubleClick, Braze, Millennial Media та інші. Крім цього, у травні Apple прибрав із App Store усі додатки, які використовували послуги Teemo та Fidzup. Цього було замало. Здається, хлопці гадали, що кожен учасник компанії має абсолютний дипломатичний імунітет і прививку від GDPR. Однак, таке викривлене тлумачення Віденської конвенції про дипломатичні зносини та неправильне розуміння основ вакцинації не сподобалося CNIL. Який і дав кожній із них 3 місяці, аби взятися за розум. Що було не так? Обидві компанії займалися геотаргентингом. Для цього вони збирали геолокаційні дані осіб — користувачів мобільних додатків, які належали B2B-партнерам Fidzup та Teemo. Обробка персональних даних починалася одразу після завантаження додатку партнера. Працювало це так: завантажується додаток – збираються дані – обробляються дані - приходять pop-up windows таргетингової реклами – здійснюється авторизація в додатку (можливо) і нарешті –> надається згода на певну обробку (можливо). Що у цій схемці не комільфо? Те, що останні 2 елементи цього ланцюжка стоять наприкінці, а не 2- чи 3-ми відповідно. А хіба це не проблема власників додатків, що вони не одержали згоду? Не зовсім. У цьому ланцюжку Fidzup та Teemo збирали дані та визначали мету їхньої обробки. Мова йде про дані, одержані внаслідок факту завантаження певних аплікашок. За це — заслужений титул контролера (володільця) даних. І в частині збору геолокаційних даних саме дует Teemo-Fidzup повинен нести відповідальність за порушення GDPR. Детальніше про кожну з компаній Teemo використовувавSDK(такий собі інструмент), за допомогою якого оброблялися дані геолокації користувачів додатку (точніше — завантажувачів додатку) та унікальний рекламний ID. Це відбувалося без відома юзерів і ще до того моменту, коли певний додаток був запущений. Якщо партнери вже давно випустили додаток на ринок і мали своїх користувачів, Teemo’s SDK починав збирати дані користувачів після першого оновлення додатку (авжеж, без повідомлення юзерів). З урахуванням даних, які накладалися на обрані клієнтами points of interest, користувачам відправлялася таргетингова реклама. Схожим чином, Fidzup із використанням іншого SDK обробляв рекламний ID та технічну інформацію гаджета (MAC-адресу). Ці дані передавалися бізнес-клієнтам, які (за рахунок утиліти Fidbox) могли також запускати таргетингову рекламу, коли юзери наближалися до обраних бізнесами точок продажів. В обох випадках публічні документи додатків не могли надати користувачам інформацію, звідки ця реклама береться. Повідомлення про обробку даних також не вказувало на особу контролера даних — Fidzup чи Teemo відповідно. Ще трохи про вимоги до згоди, або урок для прийдешніх поколінь GDPR каже: згода повинна полягати у вільному, конкретному, поінформованому та однозначному бажанні особи, щоб її персональні дані оброблялися. Така згода повинна стосуватися однієї або кількох цілей обробки. Згода повинна надаватися до початку обробки даних. Щодо обох випадків CNIL сказав, що не дотримано жодної з умов GDPR-сумісної згоди. Насамперед згода не була надана до початку обробки, а це ж просто канонічна вимога! Згода, яку дав користувач, не була вільною. Вона стосувалась усіх випадків обробки і була вбудована в сам факт авторизації в додаток (по-іншому не запустиш). Крім того, завантаження додатку було нерозривно пов’язано із завантаженням SDK. Згода не була конкретизована. Юзер не міг обрати конкретні види обробки, із якими він погоджується, а з якими — ні. Насправді, мало хто робить це нормально (дорогувато, кажуть, а ще частіший аргумент — страшнувато на вигляд на сайті потім), але все ж така диференціація згоди makes sense. Не всі хочуть маркетингові розсилки та включення даних до CRM-системи. Згода не було інформованою. адже не містила інформації про використання даних для таргетингової реклами третіми особами. До моменту завантаження додатку не було жодного повідомлення, що дані почнуть оброблятися вже і зараз. Здавалося б, у нашому випадку уже достатньо порушень. Та проблеми були не лише зі згодою, принаймні в Teemo. Строк зберігання або золоте правило “Не перетримай” Teemo обробляло дані впродовж строку, який не виправданий метою такої обробки. Це другий висновок CNIL, що стосується активного використання геолокаційних даних протягом (а тепер слухайте, поборники 10-річних строків!) 13 місяців. CNIL провів тест на пропорційність (а юристи це роблять в “Оцінці легітимних інтересів контролера”) і зазначив: право на повагу до приватності тут точно переважає. Чому? Тому що використання таких тулкітів, які допомагають таргетувати особу 13 місяців поспіль, є серйозним втручанням у приватність. Також така обробка допомагає також стежити за людьми у великих масштабах. А раптом ще така інформація, наприклад, внаслідок витоку даних (data breach), потрапить до рук зловмисників? Тепер увесь цей аналіз потрібно добряче обдумати стартапам. Надано їм для цього 3 місяці, достатньо, щоб тричі зняти фільм “Три білборди під Еббінгом, Міссурі”. Ми ж також подумали. І задалися питанням: Що стає очевидно необхідним для тих організацій, які не хочуть стати Teemo-Fidzup? Розберіться з потоками даних в межах організації. Вистачить банальних запитань та excel-таблички: звідки, від кого, куди, для чого і як довго? Перші запитання, на які треба відповісти. Можна залучити і юриста. Перевірте, на що ви покладаєтеся, збираючи дані (дипломатичний імунітет володільця даних чи все ж на згоду користувача). Якщо на згоду, тоді перегляньте, що передбачає така згода та що ви при цьому повідомляєте користувачу. Можливо, вам підійде взагалі інша підстава для обробки, зокрема, ваші легітимні інтереси. Подбайте про строки зберігання і, за можливості, підготуйте retention policy. Не зберігайте довше, ніж потрібно. Можливо, вам узагалі не потрібні персональні дані користувачів. Цього повинно вистачити для початку. Принаймні, щоб не опинитися на шпальтах Le Monde. Якщо ж ви просто користувач різних додатків, знаєте французьку і не хочете, щоб вашу локацію знали в недобросовісних компаніях, скористайтеся порадами CNIL, які мали б допомогти зберегти вашу приватність. А поки компанії-ньюзмейкери обіцяють все виправити набагато швидше, ніж протягом наданих 3 місяців, ми ще раз дивимося на типові запитання, які чують юристи “Ви порадили технічні заходи, підготували для нас внутрішні політики. Ми розмістили публічні документи у футтері, зробили pop-up вікно. Для чого це все, якщо нікого не штрафують?”. “Ви радите обмежити строк зберігання даних. Невже не можна просто зберігати маркетингові дані, допустимо, 10 років? Або стільки ж, скільки розкладається поліетилен. Хто це взагалі перевірить?”. “Хіба GDPR не лише для того, щоб притиснути до стіни Google, Facebook і інших прислужників Великого брата? Ми ж маленькі, ми в хатці”. Короткі відповіді для запам’ятовування: треба, орган, не лише для того.   Наостанок Нещодавно Associated Press разом із Прінстонським університетом провели розслідування щодо Google. Із результатами можна ознайомитися, зокрема, на the Guardian. Відповідно до цього розслідування, Google, не заперечуючи цього, збирає геолокаційні дані в процесі користування продуктами Google. Навіть якщо користувач змінив налаштування так, щоб такі дані не збиралися. Щось нагадує? 20 млн. євро. Істочник:   
Подробнее
14 августа 2018
GDPR: как внедрить новые стандарты в Ваш бизнес
Несколько последних месяцев умы украинских предпринимателей будоражит одна короткая аббревиатура из четырех букв, в которой затаились многомиллионные штрафы. GDPR или General Data Protection Regulation – новый регламент Евросоюза по защите данных, который вступил в силу в конце апреля. Теперь он нагоняет ужас не только на западные компании, но и на украинский бизнес, работающий с персональными данными европейцев. Хоть первый шок уже прошел, наши предприниматели судорожно пытаются понять, как не попасть под штрафные санкции и при этом отделаться «малой кровью». Сценарии внедрения GDPR можно обсуждать очень долго, но я все же сторонник практических советов. Давайте разберем кейс, где вы уже знаете, что такое стандарты GDPR и уверены, что их нужно внедрять в свой бизнес. Дальше у Вас есть два варианта действий. Можно попытаться имплементировать регламент самостоятельно и тут Вам в помощь знание специализированного английского, юриспруденции и технических наук. Второй вариант менее сложный, но более затратный – нанять специалиста Data Protection Officer (DPO) и делегировать ему внедрение стандартов GDPR. Я, например, обеими руками за второй вариант, потому что умение грамотно делегировать полномочия - признак эффективного лидера. И тут хочу поставить акцент на слове «грамотно». Потому давайте проясним для себя несколько важных вопросов: кто такие DPO, что входит в круг их компетенций и как выбрать настоящего профессионала. Начнем с азов. DPO – это человек в вашей компании, которому предстоит не только внедрить стандарты GDPR, но и регулярно следить за их соблюдением. Своим клиентам я советую обязательно обзавестись таким специалистом в трех случаях: если основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза, если компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости), а также всем государственным органам. Во всех остальных случаях нанять на работу DPO заставить вас никто не может – его присутствие идет с приставками «желательное» и «рекомендовано». Но на практике цена такой беспечности, в случае возникновения проблем, - штраф в $20 млн евро. Из своего опыта могу сказать, что для успеха любого кадрового решения руководитель должен четко понимать, зачем ему нужен новый сотрудник и какие конкретно функции он должен на себя взять. А поскольку фигура DPO для украинского рынка труда пока новая и загадочная, не лишним будет расставить все точки над «і». В идеале Data Protection Officer должен взять на себя три основные задачи. И первая из них контроль: помимо внедрения стандартов GDPR и мониторинга их соблюдения, в случае возникновения проблем DPO должен быть контактным лицом с европейскими органами надзора. Во-вторых, этот сотрудник должен выступать в роли внутреннего консультанта и давать свои рекомендации по оценке влияния разных факторов риска на защиту данных. Ну и третья, не менее важная задача – обучить персонал работе в рамках GDPR, потому что соблюдение даже минимальных протоколов безопасности в рутине может сыграть решающую роль. Но, как известно, хороший урожай взрастает только на благодатной почве. Чтобы DPO справился со своими задачами максимально эффективно, рекомендую организовать ему работу на «особых условиях». К примеру, тако鬬 сотрудник должен отчитываться только перед высшим руководством, а также быть максимально независим в принятии решений. Из всего вышеперечисленного напрашивается вполне очевидный вывод - в идеале пользоваться услугами DPO лучше на аутсорсе. Кстати, регламент GDPR даже предполагает, что такой специалист может обслуживать сразу несколько компаний. Ну и последний незакрытый вопрос - как выбрать компетентного DPO и не прогадать? Прежде всего, он должен быть экспертом в области европейского и украинского права, а также обладать опытом в сфере защиты данных. Думаете найти такого сверхчеловека практически невозможно? А вот и нет! Несмотря на то, что на данный момент в Евросоюзе пока нет обязательной сертификации DPO, некоторые украинские юристы уже проходят обучение за границей и расширяют перечень своих услуг GDPR-сопровождением. К примеру, в компании, где я являюсь генеральным директором, уже есть два сертифицированных DPO, и мы уже предоставляем услугу по внедрению GDPR. Верность такого движения подтверждает статистика: по последним оценкам Международной ассоциации профессионалов в области конфиденциальности в ближайшей перспективе минимум 25000 DPO понадобятся в Евросоюзе, а еще 75000 – по всему миру. В сухом остатке мы имеем практически шекспировскую дилемму – быть или не быть, а точнее нанимать или не нанимать специалистов по внедрению GDPR. Мой ответ – однозначно быть и обязательно нанимать! Хотя бы потому, что наша страна с каждым годом все стремительней приближается к европейскому законодательству, а значит, рано или поздно, соблюдать стандарты GDPR все же придется всем украинским компаниям. Потому работа с DPO сегодня – это инвестиция в будущее. Источник
Подробнее