6 ключови стъпки за осигуряване на спазването на GDPR – стъпките, които трябва да предприемете веднага

6 ключови стъпки за осигуряване на спазването на GDPR – стъпките, които трябва да предприемете веднага

6 ключови стъпки за осигуряване на спазването на GDPR – стъпките, които трябва да предприемете веднага
СОДЕРЖАНИЕ
02 июня 2020

Спазване на GDPR


Не всеки може да бъде специалист по спазване на GDPR, но това не означава, че трябва да пренебрегвате защитата на данните и поверителността; особено ако управлявате бизнес. Въпреки че се говори много за спазването на GDPR, подготвянето за GDPR не е еднократен проект. Това е постоянен подход към бизнеса.

Доверието на хората, с които споделяме нашите данни (гледайки ви във Facebook!) Е голяма част от начина, по който правим бизнес онлайн. Когато една компания се нуждае от лични данни, за да стартира услугата си, потребителят трябва да е наясно защо и как се използва, за да могат да решат услугата.

Ето защо GDPR поставя повече отговорност на организациите и увеличава правата на хората.

Някои консултанти, с които говорихме, казват, че няма такова нещо като 100% GDPR съвместимост. По-скоро е да погледнете данните и процесите от "етичен" гледна точка и не толкова "инструменти" или "контролни листове".

Така че, не търсете шаблон, всяка организация има своя начин на действие. Опитайте се да разработите ефективна стратегия за защита на данните и поверителност въз основа на вашия сценарий. Това ръководство е само отправна точка, с високо ниво и общ подход. В идеалния случай ще трябва да се ровите във всяка област на вашия бизнес и да гледате как събирате, обработвате, разкривате, съхранявате и изтривате данни.

�� Това ръководство е чисто за насоки и не представлява правен съвет или правен анализ. Организациите може да се наложи да потърсят независим правен съвет за конкретни правни въпроси или запитвания.

1. Познайте основните понятия и статии относно GDPR

Да бъдеш съвместим с GDPR не е само въпрос "коригиране на уебсайт". Това е част от цялата ви организация.

Има само няколко ситуации, в които предприятията изобщо не обработват информация. В повечето случаи има различни нива на ключов персонал (HR, IT, маркетинг, екипи за сигурност), които взаимодействат с данните на клиентите и следователно трябва да бъдат запознати с Общия регламент за защита на данните. Това не е шоу за един човек. Имате нужда както от технически, така и от правни изпълнения.

Разбиране на условията е голяма стъпка. Ето някои, които ще използваме в ръководството и ще ви помогнем да се ориентирате в GDPR:

  • Субект на данните – физическо лице, чиито лични данни се обработват от администратор или обработващ.
  • Контролер на данни – субекта, който определя целите, условията и средствата за обработка на лични данни.
  • Лични данни – всяка информация, свързана с физическо лице или субект на данни, която може да се използва за пряка или косвена идентификация на лицето.
  • Процесор на данни – субекта, който обработва данни от името на администратора на данни.

След това се запознайте със статиите по-долу. Това ще затрудни прехода ви към GDPR.

  • Изкуство. 5: Принципи, свързани с обработката на лични данни.
  • Изкуство. 6: Законни основи за обработка на лични данни.
  • Изкуство. 12 – 22: Права на субектите на данни (достъп, преносимост на данните, право да бъдат забравени и т.н.)
  • Изкуство. 25 & 32: Компаниите трябва да прилагат необходимите мерки за защита за защита на личните данни на субекта на данните.

Steps Стъпки за действие:

  • Отделете време, за да прочетете закона.
  • Вижте нашето Пълно ръководство за WordPress GDPR.
  • Обработвайте внимателно потребителските данни. Отнасяйте се така, както бихте се отнасяли към търговските тайни.
  • Оценете вашите продукти, услуги, инструменти, доставчици и т.н. според GDPR разпорежданията.
  • Информирайте сътрудниците си за рисковете и ползите от GDPR.

2. Какво да направите за спазването на GDPR сега

Трябва да предприемете действия в няколко различни области:

2.1. Съпоставяне на данни

Важна стъпка към спазването на GDPR е да разберете как се движат данните във вашата организация. Документирането на начина, по който информацията протича във вашата компания чрез извършване на опис, ви помага да демонстрирате, че спазвате. Добра отправна точка трябва да бъде тази карта с данни: Шаблон за карта на GDPR данни

карта с данни за съответствие на gdpr

Картографирането на потока от данни също ще ви помогне да идентифицирате области, които биха могли да причинят проблеми със спазването на GDPR. Не забравяйте, че операциите по обработка могат да се извършват само ако администраторът на данни може да разчита поне на законна основа. Най-подходящата законова основа ще зависи от личните данни, които се обработват, и целите за обработка.

2.2. Политика за поверителност

Прегледайте и актуализирайте текущата си Политика за поверителност. Това е първото място, което хората ще гледат, за да проверят спазването на GDPR.

Трябва да съобщите на физическите лица правното основание за обработка на данните, периодите на задържане, правото да се оплаквате, когато клиентите са недоволни от вашето внедряване, дали техните данни ще подлежат на автоматизирано вземане на решения, както и техните права съгласно GDPR.

Освен това трябва да предоставите информацията на кратък, лесен за разбиране и ясен език.

2.3. обучение

GDPR е проект за промяна на бизнеса – хората, с които работите, трябва да разберат значението на защитата на данните и да бъдат обучени на основните принципи на GDPR и процедурите, които се прилагат за съответствие.

Споделете тази статия с хора, които трябва да бъдат информирани.

Steps Стъпки за действие:

  • Карта и документи на потоци от данни, извършвани от обработващи данни.
  • Бъдете напълно прозрачни за потребителя, който се отказва от тяхната информация.
  • Давате информативно известие на вашите служители, продавачи и клиенти съгласно чл. 13 от GDPR.
  • Конфигурирайте метода на своето съгласие за използване на изрично / активно съгласие при обработка на чувствителни лични данни на вашия уебсайт.

3. Следващи стъпки за спазване на GDPR

Администраторите на данни трябва винаги да си сътрудничат с надзорния орган по отношение изпълнението на техните задачи.

Планирайте редовни одити на дейностите по обработка на данни и контрол на сигурността във вашата организация. Поддържайте актуални записи за обработка на лични данни за доказателство за съгласие.

3.1. Проверете какво правят другите доставчици

Тъй като GDPR няма ясни правила, пазарът ще трябва да измисли различни тактики, за да се увери, че данните са в съответствие, но не и да жертват потребителското изживяване. Много компании излязоха с нови функции, така че не забравяйте да проверите конкурентните уебсайтове за промени и най-добри практики за вашата ниша.

3.2. Подаване на сигнал за нарушения на данните

Трябва да сте сигурни, че имате подходящи процедури за откриване, докладване и разследване не само на вътрешни, но и на външни нарушения на данните. Бъдете интелигентни, докато настройвате матрицата за нарушаване на данните въз основа на тежестта на нарушаването на данните, броя на засегнатите субекти на данни, вида на засегнатите лични данни и т.н..

Обикновено, трябва да съобщите за нарушенията на данните на надзорния орган в рамките на 72 часа, освен ако личните данни не са анонимни или криптирани.

3.3. Продължете да работите върху оперативните политики, процедури и процеси

Както споменахме по-рано, поверителността не е еднократен проект. Непрекъснатата работа е да се гарантира, че данните, които събирате, са безопасни и използвани с подходящ обхват. Трябва да прегледате процедурите си, за да се уверите, че те обхващат всички права на хората, включително как бихте изтрили лични данни или предоставяте данни по електронен път в често използван формат.

Steps Стъпки за действие:

  • Механизъм за докладване на нарушения на проектирането на данни.
  • Привеждане на всички вътрешни процедури в съответствие с GDPR и политиките за поверителност.
  • Преглед и актуализиране на договори за служители, клиенти и доставчици.
  • Защитете личните данни чрез подходящи организационни и технически мерки.
  • Проверете дали прехвърлянето на данни извън ЕС отговаря на изискванията на GDPR. Не забравяйте за преходните точки.

4. Корекции на уебсайта

Тази тема е малко спорна, особено за разработчиците и маркетолозите. Бих казал, че коригирането на формуляри и получаването на съгласие за бисквитки трябва да отстрани 80% от проблемите. Имайте предвид обаче, това не е правен съвет.

4.1. Форми за отказ

Това е стандартният начин, по който предприятията събират информация, така че трябва да коригирате всички форми, които използвате. Няма консенсус за това как най-добре да се направи това, но следваме препоръките на нашия доставчик на имейл услуги. Това инфографика по отношение на възможността за отказ за съвместимост с GDPR е добра отправна точка.

4.2. Съгласие с бисквитки

Кратката версия: информирайте посетителите си на обикновен език за целта на вашите бисквитки и тракери, преди да зададете нещо друго освен строго необходими бисквитки.

Има различни начини, по които фирмите прилагат това и Справка за GDPR да „бисквитките“ не изчиства нещата. Разбира се, има т.нар функционални бисквитки които се използват за сесия, но се нуждаете от конкретно съгласие, за да зададете бисквитка, която да проследява потребителя.

Това, което трябва да знаете тук, е това друга европейска наредба (ePrivacy) излиза, което ще уреди бисквитките още повече.

5. Други въпроси за спазване на GDPR, които трябва да бъдат разгледани

Ето и други аспекти на GDPR, които са не по-малко важни:

5.1. Прехвърляне и разкриване на данни

Очи при прехвърляне на лични данни. Уверете се, че вашите обработващи данни ще поискат вашето одобрение, когато възнамеряват да прехвърлят данни извън ЕС / ЕИП. Същите правила се прилагат, когато обработващите данни възнамеряват да възложат част от услугите, които предоставят.

5.2. Оценка на въздействието върху защитата на данните (DPIAs)

GDPR въвежда задължителни DPIA за организации, участващи във високорискова обработка, като например внедряване на нови технологии, операция по профилиране, която вероятно ще повлияе значително на хората, мащабен мониторинг на публично достъпна зона и т.н..

5.3. Оценки на законните интереси (LIAs)

За разлика от DPIA, LIAs е просто най-добра практика, разработена главно от специалисти по поверителност и се отнася до всички онези ситуации, когато администраторите на данни се стремят да разчитат на законни интереси (маркетингови операции и др.). Една "интерес" може да се счита за "легитимен" стига администраторът на данни да преследва този интерес по начин, който е в съответствие със защитата на данните и други закони.

5.4. Служители за защита на данните

GDPR ще изисква някои организации да назначат служител по защита на данните (DPO). Организациите, изискващи DPO, включват публични органи, организации, чиито дейности включват редовен и систематичен мониторинг на субектите на данни в голям мащаб, или организации, които обработват това, което в момента е известно като "чувствителни лични данни" в голям мащаб.

5.5. Обработка на детски данни

Ако вашата организация обработва данни от непълнолетни субекти, трябва да гарантирате, че имате адекватни системи за проверка на отделни възрасти и събиране на съгласие от настойниците. GDPR има някои специфични разпоредби за деца под 16 години (моля, имайте предвид член 8 от GDPR)

6. Мониторинг и одит

Бизнесът трябва да признае, че понастоящем законът изисква прозрачност за това как се използват и защитават данните. Всяка организация (включително благотворителни организации и организации от публичния сектор) трябва да определи обхвата, за който събира конкретни данни.

Трябва само да събирате лична информация, която е необходима за предоставяне на услугата или продукта и нищо повече. Също така, данните не трябва да се споделят за други несвързани цели.

Друго голямо нещо е да запазите данните безопасни от хакване, точни и актуални и дори да ги изтриете след период.

Общият регламент за защита на данните оставя много място за подобрение, що се отнася до защитата на хората. Ето защо бъдещият регламент за защита на личните данни ще донесе още повече прозрачност, особено в Big Data, хвърляйки малко светлина върху появата и целите на анализа. Това трябва да е достатъчно основателна причина за редовен мониторинг и одит на вашите данни.

Не спирайте до тук Отидете на официалните ресурси, които използвахме за това ръководство и научете за поверителността.

В крайна сметка има нива на съответствие и трябва да решите кой от тях ви подхожда въз основа на много повече фактори от изброените тук. Това обаче е чудесно начало, за да се насочите в правилната посока и към спазването на GDPR. Разбира се, като бизнес всички ние трябва да поддържаме конкурентоспособност на пазара, така че да има някакви компромиси.

Как се подготвяте за спазването на GDPR? Споделете най-добрите си практики в коментарите!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector