6 passos claus per garantir el compliment de GDPR: els passos que heu de dur a la dreta

Compliment de GDPR


No tothom pot ser un especialista en compliment de GDPR, però això no vol dir que hagis d’ignorar la protecció de dades i la privadesa; sobretot si dirigiu un negoci. Tot i que s’ha parlat molt del compliment de GDPR, estar preparat per GDPR no és un projecte únic. És un enfocament continuat dels negocis.

Confiar en la gent amb la qual compartim les nostres dades (mirant-nos a Facebook!) És una gran part de la manera de fer negocis en línia. Quan una empresa necessita dades personals per executar el seu servei, l’usuari hauria de tenir consciència de per què i com s’utilitzen per tal de decidir sobre el servei..

És per això que GDPR posa més responsabilitat a les organitzacions i augmenta els drets de les persones.

Alguns consultors en parlem per dir que no hi ha res com complir el 100% de GDPR. Es tracta d’aplicar més informació sobre les dades i els processos d’un "ètic" punt de vista i no tant "eines" o "llistes de control".

Per tant, no busqueu una plantilla, cada organització té la seva manera de fer les coses. Intenta desenvolupar una estratègia de protecció de dades i privadesa eficaç en funció del vostre escenari. Aquesta guia és només un punt de partida, amb un enfocament general d’alt nivell i general. L’ideal és que haureu d’excavar a cada àrea del vostre negoci i mirar com recopileu, processeu, divulgueu, emmagatzeneu i suprimiu dades.

�� Aquesta guia té una finalitat purament orientativa i no constitueix assessorament ni anàlisi legal. És possible que les organitzacions necessitin sol·licitar assessorament legal independent per a qüestions o consultes legals específiques.

1. Conegui els conceptes i articles clau sobre GDPR

Ser compatible amb GDPR no només es tracta "la fixació d’un lloc web". Forma part de tota l’organització.

Hi ha algunes situacions en què les empreses no processen informació en absolut. En la majoria dels casos, hi ha diferents nivells de personal clau (recursos humans, informàtica, màrqueting, equips de seguretat) que interaccionen amb les dades dels clients i, per tant, haurien de tenir coneixement del Reglament general de protecció de dades. No és un programa d’una sola persona. Necessiteu implementacions tant tècniques com legals.

Comprensió dels termes és un gran pas. A continuació, es mostren alguns que utilitzarem a la guia i us ajudaran a navegar per GDPR:

  • Assumpte de dades – una persona física que les dades personals siguin processades per un controlador o processador.
  • Controlador de dades – l’entitat que determina els propòsits, condicions i mitjans del tractament de dades personals.
  • Dades personals – qualsevol informació relacionada amb una persona física o persona interessada que es pugui utilitzar per identificar directa o indirectament la persona.
  • Processador de dades – l’entitat que processa dades en nom del controlador de dades.

A continuació, coneixeu-vos amb els articles a continuació. Això farà que la vostra transició cap a GDPR sigui menys difícil.

  • Art. 5: Principis relacionats amb el tractament de dades personals.
  • Art. 6: Bases legals del tractament de dades personals.
  • Art. 12 – 22: Drets de l’assumpte de dades (accés, portabilitat de dades, dret a ser oblidat, etc.)
  • Art. 25 & 32: Les empreses haurien d’implementar les mesures de protecció necessàries per protegir les dades personals de l’interessat.

Steps Passos d’acció:

  • Aprofiteu-vos per llegir la llei.
  • Consulteu la nostra Guia completa de WordPress GDPR.
  • Processar les dades de l’usuari amb cura. Tracteu-lo com tractaríeu els secrets comercials.
  • Avalueu els vostres productes, serveis, eines, proveïdors, etc. segons les disposicions de GDPR.
  • Informa els seus col·laboradors sobre els riscos i beneficis de GDPR.

2. Què cal fer per complir GDPR ara

Heu d’actuar en un bon grapat de diferents àmbits:

2.1. Mapeig de dades

Un pas important cap al compliment de GDPR és comprendre com es mouen les dades de la vostra organització. Documentar la manera com flueix la informació a la vostra empresa realitzant un inventari us ajuda a demostrar que compliu. Un bon punt de partida hauria de ser aquest mapa de dades: Plantilla de mapa de dades de GDPR

Mapa de dades de compliment de gdpr

El mapatge del flux de dades també us ajudarà a identificar àrees que podrien causar problemes de compliment de GDPR. Recordeu que les operacions de processament només es poden realitzar si el controlador de dades pot confiar, almenys, en una base legal. La base lícita més adequada dependrà de les dades personals que es tractin i de les finalitats del seu tractament.

2.2. Política de privacitat

Revisa i actualitza la teva política de privadesa actual. Aquest és el primer lloc en què la gent mirarà de verificar el compliment de GDPR.

Heu de comunicar a les persones la base legal per al tractament de les dades, els períodes de retenció, el dret a queixar-se quan els clients no estan satisfet amb la vostra implementació, tant si les seves dades estaran subjectes a la presa de decisions automatitzada com els seus drets en virtut de GDPR.

A més, ha de proporcionar la informació amb un llenguatge concis, fàcil d’entendre i clar.

2.3. Formació

El GDPR és un projecte de canvi de negoci: les persones que treballen necessiten comprendre la importància de la protecció de dades i formar-se sobre els principis bàsics del GDPR i els procediments que s’estan implementant per al seu compliment..

Compartiu aquest article amb persones que han de ser informades.

Steps Passos d’acció:

  • Corregiu mapes i documents de dades realitzats pels processadors de dades.
  • Ser completament transparent a l’usuari que estigui cedint la seva informació.
  • Avisa informatiu als vostres empleats, venedors i clients per art. 13 de GDPR.
  • Configureu el mètode de consentiment per utilitzar el consentiment explícit / actiu quan processi dades personals sensibles al vostre lloc web.

3. Procediments de compliment de GDPR a seguir

Els controladors de dades sempre han de cooperar amb l’Autoritat de supervisió per al compliment de les seves tasques.

Planifiqueu auditories periòdiques d’activitats de processament de dades i controls de seguretat de la vostra organització. Tenir actualitzats els registres del tractament de dades personals per a la prova de consentiment.

3.1. Comproveu què fan altres venedors

Com que GDPR no té regles clares, el mercat haurà de tenir diferents tàctiques per assegurar-se que les dades compleixen, però no sacrificar l’experiència dels usuaris. Moltes empreses han sortit amb noves funcions, així que assegureu-vos de comprovar els canvis i les millors pràctiques del vostre lloc web per als llocs web de competidors.

3.2. Informeu d’incompliments de dades

Heu d’assegurar-vos que teniu els procediments adequats per detectar, informar i investigar no només incompliments de dades interns, sinó també externs. Sigui intel·ligent mentre configura la matriu d’incompliment de dades en funció de la gravetat de l’incompliment de dades, del nombre d’afectats afectats, del tipus de dades personals afectades, etc..

Típicament, heu d’informar les infraccions de dades a l’autoritat de supervisió en un termini de 72 hores, tret que les dades personals fossin anonimitzades o xifrades.

3.3. Continuar treballant en polítiques, procediments i processos operatius

Com hem comentat abans, la privadesa no és un projecte únic. Es fa un treball continu per assegurar-se que les dades que recopilin siguin segures i que s’utilitzin amb un àmbit adequat. Hauríeu de revisar els vostres procediments per assegurar-vos que cobreixin tots els drets que tenen els individus, inclosa la manera d’eliminar les dades personals o de proporcionar-los dades electrònicament en un format d’ús habitual.

Steps Passos d’acció:

  • Dissenyar mecanisme d’informació d’incompliment de dades.
  • Configureu tots els procediments interns en línia amb les polítiques de privadesa i les polítiques de privadesa.
  • Revisar i actualitzar els contractes d’empleats, clients i proveïdors.
  • Assegurar dades personals mitjançant mesures organitzatives i tècniques adequades.
  • Verifiqueu si les transferències de dades fora de la UE compleixen els requisits de GDPR. No us oblideu dels punts de transició.

4. Ajustaments del lloc web

Aquest tema és una mica controvertit, especialment per a desenvolupadors i venedors. Diria que ajustar formularis i obtenir el consentiment per a les cookies haurien de solucionar el 80% dels problemes. Tot i això, tingueu en compte que no es tracta d’assessorament legal.

4.1. Formulari d’inclusió

Aquesta és la forma estàndard de què les empreses recopilen informació, de manera que heu d’ajustar tots els formularis que feu servir. No hi ha un consens sobre com fer-ho millor, però seguim les recomanacions del nostre proveïdor de serveis de correu electrònic. Això infografia és un bon punt de partida el fet de complir les opt-ins GDPR.

4.2. Consentiment de la galeta

La versió curta: informeu els vostres visitants en un idioma senzill sobre la finalitat de les vostres cookies i seguidors abans d’establir res que no siguin les cookies estrictament necessàries.

Hi ha diferents maneres en què les empreses ho implementen i Referència GDPR a les cookies no s’aclareixen les coses. Segur, hi ha els anomenats cookies funcionals que s’utilitzen per a una sessió, però cal un consentiment específic per configurar una galeta per fer el seguiment de l’usuari.

El que heu de saber aquí, és això un altre reglament europeu (ePrivacy) està arribant, la qual cosa legislarà les cookies encara més.

5. Altres problemes de compliment de GDPR a tenir en compte

A continuació, es detallen altres aspectes de GDPR que no són menys importants:

5.1. Transferència i divulgació de dades

Transferència de dades personals. Assegureu-vos que els processadors de dades us demanin la vostra aprovació sempre que pretenguin transferir dades fora de la web UE / EEE. Les mateixes regles s’apliquen quan els processadors de dades pretenen subcontractar part dels serveis que presten.

5.2. Avaluació d’impacte de protecció de dades (DPIAs)

El GDPR introdueix DPIA obligatòries per a organitzacions implicades en processament d’alt risc, com ara les noves tecnologies que s’estan desenvolupant, una operació de perfilació susceptible d’afectar de manera significativa els individus, el seguiment a gran escala d’una zona d’accés públic, etc..

5.3. Avaluació dels interessos legítims (LIAs)

A diferència dels DPIA, els LIAs són només una millor pràctica desenvolupada principalment per especialistes en privadesa i fa referència a totes aquelles situacions en què els controladors de dades busquen confiar en interessos legítims (operacions de màrqueting, etc.). Un "interès" es pot considerar com "legítim" sempre que el controlador de dades pugui perseguir aquest interès de manera que compleixi la protecció de dades i altres lleis.

5.4. Funcionaris de protecció de dades

El GDPR requerirà que algunes organitzacions designin un agent de protecció de dades (DPO). Les organitzacions que requereixen DPO inclouen autoritats públiques, organitzacions les activitats de les quals consisteix en un seguiment regular i sistemàtic dels subjectes de dades a gran escala o organitzacions que processen el que actualment es coneix com a "dades personals sensibles" a gran escala.

5.5. Processament de dades de nens

Si l’organització processa dades de subjectes menors d’edat, heu d’assegurar-vos que disposeu de sistemes adequats per verificar les edats i obtenir el consentiment dels tutors. GDPR té algunes disposicions específiques per a menors de 16 anys (tingueu en compte l’art. 8 de GDPR)

6. Supervisar i auditar

Les empreses han de reconèixer que la llei exigeix ​​ser transparents sobre com s’utilitzen i protegeixen les dades. Cada organització (incloses entitats benèfiques i entitats del sector públic) ha de definir un àmbit per al qual recopilen dades concretes.

Només heu de recopilar la informació personal necessària per proporcionar el servei o producte i res més. A més, les dades no s’han de compartir amb altres finalitats no relacionades.

Una altra cosa important és evitar que les dades siguin segures de pirateria, exactes i actualitzades, i fins i tot suprimir-les al cap d’un període.

El Reglament general de protecció de dades deixa molt marge per millorar a l’hora de protegir les persones. És per això que el futur Reglament de privadesa aportarà encara més transparència, especialment en Big Data, que evidenciarà la presència i el propòsit de les analítiques. Aquest ha de ser un motiu prou bo per supervisar i auditar les dades de forma regular.

No s’atura aquí. Aneu als recursos oficials que hem utilitzat per a aquesta guia i obteniu informació sobre la privadesa.

Al final, hi ha nivells de compliment i hauríeu de decidir quin s’adapta a vosaltres, en funció de molts més factors que els que s’enumeren aquí. Tanmateix, aquest és un bon començament per anar cap a la direcció correcta i cap al compliment de GDPR. Per descomptat, com a negoci, tots hem de mantenir-nos competitius en el mercat, de manera que hi haurà alguns compromisos.

Com estàs preparant el compliment de GDPR? Compartiu les vostres bones pràctiques als comentaris!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map