6 klíčových kroků k zajištění souladu s GDPR – kroky, které musíte podniknout hned

6 klíčových kroků k zajištění souladu s GDPR – kroky, které musíte podniknout hned

6 klíčových kroků k zajištění souladu s GDPR – kroky, které musíte podniknout hned
СОДЕРЖАНИЕ
02 июня 2020

Soulad s GDPR


Ne každý může být specialistou na dodržování norem GDPR, ale to neznamená, že byste měli ignorovat ochranu údajů a soukromí; zejména pokud podnikáte. Přestože se hodně hovoří o souladu s GDPR, není připravenost na GDPR jednorázovým projektem. Je to neustálý přístup k podnikání.

Důvěřovat lidem, s nimiž sdílíme naše data (díváme se na vás Facebook!), Je velká část toho, jak obchodujeme online. Pokud společnost potřebuje ke spuštění své služby osobní údaje, měl by si být uživatel vědom toho, proč a jak se používá, aby mohl rozhodnout o službě.

Proto GDPR klade větší odpovědnost za organizace a zvyšuje práva jednotlivců.

Někteří konzultanti, s nimiž jsme hovořili, říkali, že neexistuje nic takového jako 100% HDPR kompatibilní. Je to více o pohledu na data a procesy z "etický" stanovisko a ne tolik "nástroje" nebo "kontrolní seznamy".

Nevyhledávejte šablonu, každá organizace má způsob, jak dělat věci. Zkuste na základě vašeho scénáře vyvinout efektivní strategii ochrany údajů a soukromí. Tato příručka je pouze výchozím bodem s obecným přístupem na vysoké úrovni. V ideálním případě budete muset kopat do každé oblasti svého podnikání a podívat se na to, jak shromažďovat, zpracovávat, zveřejňovat, ukládat a mazat data.

�� Tato příručka slouží pouze jako vodítko a nepředstavuje právní radu ani právní analýzu. Organizace mohou potřebovat vyhledat nezávislé právní poradenství pro konkrétní právní záležitosti nebo dotazy.

1. Znát klíčové pojmy a články týkající se GDPR

Být v souladu s GDPR není jen o "oprava webové stránky". Je součástí celé vaší organizace.

Existuje jen několik situací, kdy podniky vůbec nezpracovávají informace. Ve většině případů existují různé úrovně klíčových pracovníků (HR, IT, marketing, bezpečnostní týmy), které interagují s údaji zákazníků, a proto by měly být obeznámeny s obecným nařízením o ochraně údajů. Nejedná se o show pro jednu osobu. Potřebujete technické i právní implementace.

Porozumění podmínkám je velký krok. Zde jsou některé, které budeme v příručce používat a pomohou vám orientovat se v GDPR:

  • Subjekt údajů – fyzická osoba, jejíž osobní údaje zpracovává správce nebo zpracovatel.
  • Řadič dat – subjekt, který určuje účel, podmínky a prostředky zpracování osobních údajů.
  • Osobní data – veškeré informace týkající se fyzické osoby nebo subjektu údajů, které lze použít k přímé nebo nepřímé identifikaci osoby.
  • Datový procesor – entita, která zpracovává data jménem správce dat.

Dále se seznamte s níže uvedenými články. Tím se sníží váš přechod na GDPR.

  • Umění. 5: Zásady týkající se zpracování osobních údajů.
  • Umění. 6: Zákonné základy zpracování osobních údajů.
  • Umění. 12 – 22: Práva subjektů údajů (přístup, přenositelnost dat, právo být zapomenut, atd.)
  • Umění. 25 & 32: Společnosti by měly provádět nezbytná ochranná opatření k ochraně osobních údajů subjektu údajů.

⚡ Kroky akce:

  • Udělejte si čas na přečtení zákona.
  • Podívejte se na našeho úplného průvodce WordPress GDPR.
  • Uživatelská data pečlivě zpracovejte. Zacházejte s ním jako s obchodními tajemstvími.
  • Vyhodnoťte své produkty, služby, nástroje, poskytovatele atd. Podle dispozic GDPR.
  • Stručně informujte své spolupracovníky o rizicích a výhodách GDPR.

2. Co dělat nyní pro splnění GDPR

Měli byste jednat v několika různých oblastech:

2.1. Mapování dat

Důležitým krokem k dosažení souladu s GDPR je pochopit, jak se data pohybují ve vaší organizaci. Dokumentace způsobu toku informací ve vaší společnosti vytvořením inventáře vám pomůže prokázat, že splňujete požadavky. Dobrým výchozím bodem by měla být tato datová mapa: Šablona datové mapy GDPR

Mapa údajů o shodě gdpr

Mapování toku dat vám také pomůže určit oblasti, které by mohly způsobit problémy s dodržováním GDPR. Nezapomeňte, že operace zpracování lze provádět pouze tehdy, pokud se správce dat může spolehnout alespoň na zákonný základ. Nejvhodnější právní základ bude záviset na zpracovávaných osobních údajích a účelech zpracování.

2.2. Zásady ochrany osobních údajů

Zkontrolujte a aktualizujte své současné zásady ochrany osobních údajů. Toto je první místo, které lidé budou hledat, aby zkontrolovali dodržování GDPR.

Musíte jednotlivcům sdělit právní základ pro zpracování údajů, doby uchovávání, právo stěžovat si, když zákazníci nejsou spokojeni s vaší implementací, zda jejich data budou podléhat automatizovanému rozhodování, a jejich práva podle GDPR..

Kromě toho musíte poskytnout informace stručným, srozumitelným a srozumitelným jazykem.

2.3. Výcvik

GDPR je projekt změny podnikání – lidé, s nimiž pracujete, musí pochopit důležitost ochrany údajů a být vyškoleni o základních principech GDPR a postupech implementovaných pro zajištění souladu.

Sdílejte tento článek s lidmi, kteří potřebují být informováni.

⚡ Kroky akce:

  • Mapujte a dokumentujte datové toky prováděné datovými procesory.
  • Být plně transparentní pro uživatele, který se vzdává svých informací.
  • Poskytněte informativní oznámení svým zaměstnancům, prodejcům a klientům podle čl. 13 GDPR.
  • Nakonfigurujte způsob souhlasu tak, aby při zpracování citlivých osobních údajů na vašem webu používal výslovný / aktivní souhlas.

3. Kroky v souladu s GDPR, které je třeba podniknout dále

Správci údajů by při plnění svých úkolů měli vždy spolupracovat s Úřadem pro dohled.

Naplánujte pravidelné audity činností zpracování dat a bezpečnostních kontrol ve vaší organizaci. Uchovávejte záznamy o zpracování osobních údajů v aktuálním stavu pro prokázání souhlasu.

3.1. Zkontrolujte, co dělají jiní dodavatelé

Protože GDPR nemá jasná pravidla, trh bude muset přijít s jinou taktikou, aby se ujistil, že data jsou v souladu, ale ne obětují uživatelský zážitek. Mnoho společností vyšlo s novými funkcemi, takže nezapomeňte zkontrolovat konkurenční webové stránky, zda neobsahují změny a doporučené postupy pro vaše místo.

3.2. Nahlásit porušení dat

Měli byste se ujistit, že máte správné postupy pro zjišťování, hlášení a vyšetřování nejen interních, ale i externích porušení údajů. Buďte inteligentní při nastavování matice porušení údajů na základě závažnosti porušení údajů, počtu dotčených subjektů údajů, typu dotčených osobních údajů atd..

Typicky, musíte ohlásit porušení údajů Úřadu dohledu do 72 hodin, pokud nebyly osobní údaje anonymizovány nebo šifrovány.

3.3. Pokračujte v práci na provozních politikách, postupech a procesech

Jak již bylo zmíněno, soukromí není jednorázový projekt. Je to nepřetržitá práce, abychom se ujistili, že shromažďovaná data jsou bezpečná a používaná ve správném rozsahu. Měli byste zkontrolovat své postupy, abyste se ujistili, že se vztahují na všechna práva jednotlivců, včetně toho, jak byste mazali osobní údaje nebo poskytovali data elektronicky v běžně používaném formátu.

⚡ Kroky akce:

  • Mechanismus hlášení porušení předpisů.
  • Uvede všechny interní postupy do souladu s politikou GDPR a zásadami ochrany soukromí.
  • Zkontrolujte a aktualizujte smlouvy o zaměstnancích, zákaznících a dodavatelích.
  • Zabezpečte osobní údaje prostřednictvím vhodných organizačních a technických opatření.
  • Ověřte, zda jsou přenosy dat mimo EU v souladu s požadavky GDPR. Nezapomeňte na body přechodu.

4. Úpravy webových stránek

Toto téma je trochu kontroverzní, zejména pro vývojáře a obchodníky. Řekl bych, že úprava formulářů a získání souhlasu s cookies by mělo vyřešit 80% problémů. Nezapomeňte však, že se nejedná o právní radu.

4.1. Opt-In Formuláře

Toto je standardní způsob, jak podniky shromažďují informace, takže je třeba upravit všechny formuláře, které používáte. Neexistuje konsenzus o tom, jak toho nejlépe dosáhnout, ale řídíme se doporučeními našeho poskytovatele e-mailových služeb. Tento infographic dobrým výchozím bodem pro zajištění souladu s GDPR.

4.2. Souhlas se souborem cookie

Krátká verze: informujte své návštěvníky v jasném jazyce o účelu vašich cookies a trackerů, než nastavíte něco jiného než nezbytně nutné cookies.

Existují různé způsoby, jak společnosti toto implementují, a Reference GDPR do cookies nevyjasňuje věci. Jistě, existují takzvané funkční cookies které se používají pro relaci, ale k nastavení souboru cookie pro sledování uživatele potřebujete konkrétní souhlas.

To, co potřebujete vědět, je to další evropské nařízení (ePrivacy) vyjde, což bude zákonodárství cookies ještě více.

5. Další otázky týkající se souladu s GDPR

Tady jsou další aspekty GDPR, které nejsou neméně důležité:

5.1. Přenos a zveřejňování údajů

Oči při přenosu osobních údajů. Ujistěte se, že vaše zpracovatelé dat budou požadovat váš souhlas, kdykoli mají v úmyslu přenášet data mimo internet EU / EHP. Stejná pravidla platí, pokud zpracovatelé dat zamýšlejí zadat subdodavatelskou část služeb, které poskytují.

5.2. Posouzení dopadů na ochranu údajů (DPIA)

GDPR zavádí povinné DPIA pro organizace zapojené do vysoce rizikového zpracování, jako jsou nasazení nových technologií, profilování, které pravděpodobně významně ovlivní jednotlivce, rozsáhlé sledování veřejně přístupné oblasti atd..

5.3. Hodnocení legitimních zájmů (LIA)

Na rozdíl od DPIA je LIA pouze osvědčeným postupem vyvinutým hlavně odborníky na ochranu soukromí a týká se všech situací, kdy se správci údajů snaží spoléhat na legitimní zájmy (marketingové operace atd.). An "zájem" lze považovat za "legitimní" pokud správce údajů může sledovat tento zájem způsobem, který je v souladu s ochranou údajů a dalšími zákony.

5.4. Úředníci pro ochranu údajů

GDPR bude vyžadovat, aby některé organizace jmenovaly inspektora ochrany údajů (DPO). Organizace vyžadující DPO zahrnují veřejné orgány, organizace, jejichž činnosti zahrnují pravidelné a systematické monitorování subjektů údajů ve velkém měřítku, nebo organizace, které zpracovávají to, co je v současnosti známé jako "citlivé osobní údaje" ve velkém měřítku.

5.5. Zpracování dětských dat

Pokud vaše organizace zpracovává údaje od nezletilých osob, musíte zajistit, že máte k dispozici odpovídající systémy pro ověřování individuálního věku a získání souhlasu zákonných zástupců. GDPR obsahuje některá zvláštní ustanovení pro děti do 16 let (všimněte si čl. 8 GDPR)

6. Monitorování a audit

Podniky musejí uznat, že nyní je zákonem vyžadována transparentnost ohledně způsobu používání a ochrany dat. Každá organizace (včetně charitativních organizací a subjektů veřejného sektoru) musí definovat rozsah, pro který shromažďuje konkrétní údaje.

Měli byste shromažďovat pouze osobní informace, které jsou potřebné k poskytování služby nebo produktu, a nic víc. Data by také neměla být sdílena pro jiné nesouvisející účely.

Další velkou věcí je chránit data před hackováním, přesná a aktuální a dokonce i po určité době je smazat.

Obecné nařízení o ochraně údajů ponechává mnoho prostoru pro zlepšení, pokud jde o ochranu jednotlivců. To je důvod, proč budoucí nařízení o ochraně soukromí v odvětví elektronických komunikací přinese ještě větší transparentnost, zejména v případě velkých dat, čímž objasní výskyt a účel analýzy. To by měl být dost dobrý důvod pro pravidelné sledování a audit vašich dat.

Nezastavujte se zde. Přejděte na oficiální zdroje, které jsme použili pro tuto příručku, a získejte informace o ochraně osobních údajů.

Nakonec existují úrovně shody a vy byste se měli rozhodnout, který z nich vám vyhovuje, na základě mnohem více faktorů, které jsou zde uvedeny. Je to však skvělý začátek, který vás přiměje jít správným směrem a směrem k dodržování požadavků GDPR. Jako firma se samozřejmě musíme všichni udržet konkurenceschopní na trhu, takže dojde k určitým kompromisům.

Jak se připravujete na splnění GDPR? Podělte se o své nejlepší postupy v komentářích!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector