6 peamist sammu GDPR-i vastavuse tagamiseks – sammud, mida peate kohe võtma

GDPR-i vastavus


Kõik ei saa olla GDPR-i nõuetele vastavuse spetsialistid, kuid see ei tähenda, et peaksite andmekaitset ja privaatsust eirama; eriti kui juhite ettevõtet. Ehkki GDPR-i järgimisest on palju räägitud, pole GDPR-i valmisolek ühekordne projekt. See on pidev lähenemisviis ettevõtlusele.

Inimeste usaldamine, kellega oma andmeid jagame (vaatame teile Facebooki!), On suur osa sellest, kuidas me veebis äri teeme. Kui ettevõte vajab teenuse osutamiseks isikuandmeid, peaks kasutaja olema teadlik, miks ja kuidas seda kasutatakse, et nad saaksid teenuse üle otsustada.

Seetõttu paneb GDPR organisatsioonide suurema vastutuse ja suurendab üksikisikute õigusi.

Mõned konsultandid, kellega rääkisime, ütlesid, et pole olemas sellist asja, mis vastaks 100% SKT-le. See on rohkem andmete ja protsesside vaatlemine "eetiline" seisukohast ja mitte nii palju "tööriistad" või "kontrollnimekirjad".

Nii et ärge otsige malli, igal organisatsioonil on oma viis asja ajada. Proovige oma stsenaariumi põhjal välja töötada tõhus andmekaitse ja privaatsuse strateegia. See juhend on kõigest lähtepunkt koos kõrgetasemelise ja üldise lähenemisviisiga. Ideaalis peate kaevama oma ettevõtte igasse valdkonda ja uurima, kuidas andmeid kogute, töödelda, avalikustada, salvestada ja kustutada.

�� Käesolev juhend on üksnes juhiseks ega kujuta endast juriidilist nõu ega juriidilist analüüsi. Organisatsioonidel võib olla vaja konkreetsete juriidiliste küsimuste või küsimuste korral küsida sõltumatut juriidilist nõu.

1. Teadke GDPR-i peamisi mõisteid ja artikleid

GDPR-iga ühilduvus ei tähenda ainult "veebisaidi kinnitamine". See on osa kogu teie organisatsioonist.

On vaid üksikuid olukordi, kus ettevõtted ei töötle üldse teavet. Enamasti on võtmetöötajatel (HR, IT, turundus, turbemeeskonnad) erinevad tasemed, kes suhtlevad klientide andmetega ja peaksid seetõttu olema teadlikud üldisest andmekaitse määrusest. See pole ühe inimese show. Te vajate nii tehnilisi kui ka juriidilisi rakendusi.

Tingimuste mõistmine on suur samm. Siin on mõned, mida me juhendis kasutame ja mis aitavad teil GDPR-is navigeerida:

  • Andmesubjekt – füüsiline isik, kelle isikuandmeid töötleb vastutav töötleja või volitatud töötleja.
  • Andmekontroller – üksus, kes määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid.
  • Isiklikud andmed – kogu füüsilise isiku või andmesubjektiga seotud teave, mida saab kasutada isiku otseseks või kaudseks tuvastamiseks.
  • Andmete töötleja – üksus, mis töötleb andmeid vastutava töötleja nimel.

Järgmisena tutvuge allpool olevate artiklitega. See muudab teie ülemineku GDPR-ile vähem keeruliseks.

  • Art. 5: Isikuandmete töötlemise põhimõtted.
  • Art. 6: Isikuandmete töötlemise seaduslikud alused.
  • Art. 12 – 22: Andmesubjektide õigused (juurdepääs, andmete teisaldatavus, õigus olla unustatud jne)
  • Art. 25 & 32: Ettevõtted peaksid rakendama vajalikke kaitsemeetmeid andmesubjekti isikuandmete kaitsmiseks.

⚡ Toimingu sammud:

  • Võtke seaduste lugemiseks aega.
  • Vaadake meie täielikku WordPressi GDPR-i juhendit.
  • Töötle kasutaja andmeid hoolikalt. Kohelge seda nii, nagu kohtleksite ärisaladusi.
  • Hinnake oma tooteid, teenuseid, tööriistu, pakkujaid jne vastavalt GDPR-i valikule.
  • Tutvustage oma kaastöötajaid GDPR-i riskide ja eeliste kohta.

2. Mida teha GDPR-i järgimiseks praegu

Peaksite tegutsema mitmes erinevas valdkonnas:

2.1. Andmete kaardistamine

Oluline samm GDPR-i järgimise suunas on mõista, kuidas andmed teie organisatsioonis liiguvad. Informatsiooni liikumise viisi dokumenteerimine teie ettevõttes inventuuri koostamise abil aitab teil näidata oma vastavust. Hea lähtepunkt peaks olema see andmekaart: GDPR-i andmekaardi mall

gdpr nõuetele vastavuse andmete kaart

Andmevoo kaardistamine aitab teil ka tuvastada piirkondi, mis võivad põhjustada GDPR-i järgimisega seotud probleeme. Pidage meeles, et töötlemistoiminguid saab läbi viia ainult juhul, kui vastutav töötleja saab vähemalt seaduslikul alusel usaldada. Kõige sobivam seaduslik alus sõltub töödeldavatest isikuandmetest ja töötlemise eesmärkidest.

2.2. Privaatsuspoliitika

Vaadake oma praegused privaatsuseeskirjad üle ja värskendage neid. See on esimene koht, kus inimesed soovivad kontrollida GDPR-i vastavust.

Peate eraisikutele edastama andmete töötlemise õigusliku aluse, säilitustähtajad, õiguse kaebuse esitamiseks, kui kliendid pole teie rakendamisega rahul, kas nende andmeid hakatakse automatiseerima otsustama, ja nende õigusi, mis tulenevad GDPR-ist.

Lisaks peate teabe esitama lühikese, hõlpsasti mõistetava ja selges keeles.

2.3. Treening

GDPR on ettevõtte muutmise projekt – inimesed, kellega koos töötate, peavad mõistma andmekaitse olulisust ja saama väljaõpet GDPR-i aluspõhimõtete ning vastavuse tagamiseks rakendatavate menetluste kohta.

Jagage seda artiklit inimestega, keda tuleb teavitada.

⚡ Toimingu sammud:

  • Andmetöötlejate teostatavad kaardi- ja dokumendivoogud.
  • Olge oma teabest loobunud kasutaja suhtes täiesti läbipaistev.
  • Teatage oma töötajatele, müüjatele ja klientidele vastavalt Art. 13 GDPR-st.
  • Seadistage oma nõusolekumeetod selgesõnalise / aktiivse nõusoleku kasutamiseks oma veebisaidil tundlike isikuandmete töötlemisel.

3. Järgmised sammud GDPR-i järgimisega

Vastutavad töötlejad peaksid oma ülesannete täitmisel alati tegema järelevalveasutusega koostööd.

Planeerige oma organisatsioonis andmetöötlustoimingute ja turvakontrolli regulaarseid auditeid. Hoidke isikuandmete töötlemise registrit nõusoleku tõendamiseks ajakohasena.

3.1. Vaadake, mida teised müüjad teevad

Kuna GDPR-il puuduvad selged reeglid, peab turg pakkuma erinevaid taktikaid, et tagada andmete vastavus, kuid mitte ohverdada kasutajakogemust. Paljud ettevõtted tulid välja uute funktsioonidega, nii et kontrollige kindlasti konkurentide veebisaite oma niši jaoks muudatuste ja parimate tavade osas.

3.2. Andmete rikkumistest teatamine

Peaksite kontrollima, et teil on olemas õiged protseduurid mitte ainult sisemiste, vaid ka väliste andmerikkumiste tuvastamiseks, neist teatamiseks ja uurimiseks. Ole nutikas, kui seadistad andmerikkumiste maatriksi, lähtudes andmete rikkumise tõsidusest, mõjutatud andmesubjektide arvust, mõjutatud isikuandmete tüübist jne..

Tavaliselt, peate rikkumistest teatama järelevalveametile 72 tunni jooksul, välja arvatud juhul, kui isikuandmeid oli anonüümseks muudetud või krüptitud.

3.3. Jätkake tööpõhimõtete, protseduuride ja protsesside väljatöötamist

Nagu varem mainitud, pole privaatsus ühekordne projekt. Pidev töö on tagada, et kogutud andmed oleksid ohutud ja kasutataks õige ulatusega. Peaksite oma protseduurid üle vaatama, tagamaks, et need hõlmavad kõiki üksikisikute õigusi, sealhulgas seda, kuidas kustutate isikuandmeid või annate andmeid elektrooniliselt üldkasutatavas vormingus.

⚡ Toimingu sammud:

  • Kujundage andmete rikkumisest teatamise mehhanism.
  • Viige kõik siseprotseduurid kooskõlas GDPR-i ja privaatsuspoliitikaga.
  • Vaadake üle ja uuendage töötajate, klientide ja tarnijate lepinguid.
  • Turvalised isikuandmed sobivate organisatsiooniliste ja tehniliste meetmete abil.
  • Kontrollige, kas andmete edastamine väljaspool ELi vastab GDPR nõuetele. Ärge unustage üleminekupunkte.

4. Veebisaidi kohandused

See teema on pisut vaieldav, eriti arendajate ja turundajate jaoks. Ma ütleksin, et vormide kohandamine ja küpsiste jaoks nõusoleku saamine peaks lahendama 80% probleemidest. Kuid pidage meeles, et see pole juriidiline nõuanne.

4.1. Lubatud vormid

See on tavapärane viis, kuidas ettevõtted teavet koguvad, nii et peate kohandama kõiki kasutatavaid vorme. Puudub üksmeel selles osas, kuidas seda kõige paremini teha, kuid järgime oma e-posti teenuse pakkuja soovitusi. See infograafiline nõusolekute muutmine GDPR-iga ühilduvaks on heaks lähtepunktiks.

4.2. Prääniku nõusolek

Lühike versioon: teavitage külastajaid lihtsas keeles teie küpsiste ja jälgimisvõimaluste eesmärgist enne kui seadistate midagi muud kui rangelt vajalikud küpsised.

Ettevõtted rakendavad seda erinevalt ja GDPR viide küpsistele, ei tee asju selgeks. Muidugi, on olemas nn funktsionaalsed küpsised mida kasutatakse seansi jaoks, kuid kasutaja jälgimiseks küpsise seadmiseks on vaja spetsiaalset nõusolekut.

Mida peate siin teadma, see on see veel üks Euroopa määrus (e-privaatsus) on välja tulemas, mis hakkab küpsiseid veelgi seadustama.

5. Muud kaaluda olevad GDPR-i järgimisega seotud probleemid

Siin on muud GDPR-i aspektid, mis pole vähem olulised:

5.1. Andmete edastamine ja avalikustamine

Silmad isikuandmete edastamisel. Veenduge, et andmetöötlejad paluvad teie nõusolekut, kui nad kavatsevad andmeid edastada väljaspool EL / EMP. Samad reeglid kehtivad ka siis, kui andmetöötlejad kavatsevad osa pakutavatest teenustest allhanke korras sõlmida.

5.2. Andmekaitse mõjuhinnangud

GDPR kehtestab kohustusliku DPIA-d organisatsioonidele, kes tegelevad kõrge riskiteguriga töötlemisega, näiteks uute tehnoloogiate kasutuselevõtuga, profiilide koostamisega, mis tõenäoliselt mõjutab inimesi märkimisväärselt, üldsusele juurdepääsetava ala ulatuslik jälgimine jne..

5.3. Õigustatud huvide hinnangud (LIA-d)

Erinevalt DPIA-st on LIA-d lihtsalt hea tava, mille on välja töötanud peamiselt privaatsusspetsialistid, ja viitab kõigile neile olukordadele, kui vastutavad töötlejad soovivad tugineda õigustatud huvidele (turundustegevused jne). An "huvi" võib pidada "õigustatud" niikaua kui vastutav töötleja saab seda huvi järgida viisil, mis on kooskõlas andmekaitse ja muude seadustega.

5.4. Andmekaitseametnikud

GDPR nõuab, et mõned organisatsioonid määraksid andmekaitseametniku. Organisatsioonid, mis nõuavad andmekaitseametnikke, hõlmavad riigiasutusi, organisatsioone, mille tegevus hõlmab andmesubjektide regulaarset ja süstemaatilist jälgimist suures ulatuses, või organisatsioone, mis töötlevad seda, mida praegu nimetatakse "tundlikke isikuandmeid" suures plaanis.

5.5. Laste andmete töötlemine

Kui teie organisatsioon töötleb alaealistelt saadud andmeid, peate tagama, et teil on olemas sobivad süsteemid üksikute vanuse kontrollimiseks ja eestkostjate nõusoleku kogumiseks. GDPR-is on mõned erisätted alla 16-aastaste laste jaoks (palun võtke arvesse GDPR-i artiklit 8)

6. Jälgimine ja auditeerimine

Ettevõtted peavad tunnistama, et nüüd on seadusega nõutav andmete kasutamise ja kaitsmise läbipaistvus. Iga organisatsioon (sealhulgas heategevusorganisatsioonid ja avaliku sektori üksused) peab määratlema ulatuse, mille jaoks nad konkreetseid andmeid koguvad.

Koguma peaksite ainult teenuse või toote osutamiseks vajalikku isiklikku teavet ja mitte midagi muud. Samuti ei tohiks andmeid jagada muudel sõltumatutel eesmärkidel.

Teine suur asi on hoida andmed häkkimise eest kaitstuna, täpsed ja ajakohased ning isegi pärast perioodi need kustutada.

Andmekaitse üldmäärus jätab üksikisikute kaitsmisel palju arenguruumi. Seetõttu annab tulevane e-privaatsuse määrus veelgi suuremat läbipaistvust, eriti suurandmetes, valgustades analüüsi esinemist ja eesmärki. See peaks olema piisavalt hea põhjus, et teie andmeid regulaarselt jälgida ja kontrollida.

Ära peatu siin. Minge selle juhendi jaoks kasutatud ametlikesse ressurssidesse ja lugege privaatsuse kohta.

Lõpuks on olemas vastavuse tasemed ja te peaksite otsustama, milline neist teile sobib, tuginedes palju enamatele teguritele kui siin loetletud. Kuid see on hea algus, et viia teid õiges suunas ja GDPR-i järgimise poole. Muidugi, kui äriettevõtted, peame kõik end turul konkurentsis hoidma, nii et tuleb ka kompromisse.

Kuidas valmistute GDPR-i järgimiseks? Jagage oma parimaid tavasid kommentaarides!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map