6 ključnih koraka za osiguranje poštivanja GDPR-a – koraci koje trebate poduzeti odmah

Saglasnost GDPR-a


Ne može svatko biti stručnjak za usklađenost s GDPR-om, ali to ne znači da biste trebali zanemariti zaštitu podataka i privatnost; posebno ako vodite tvrtku. Iako je puno govora o usaglašenosti s GDPR-om, pripremanje GDPR-a nije jednokratan projekt. To je stalni pristup poslovanju.

Povjerenje ljudima s kojima dijelimo naše podatke (gledanje na vas Facebook!) Veliki je dio načina poslovanja na internetu. Kad tvrtki trebaju osobni podaci za pokretanje njene usluge, korisnik bi trebao biti svjestan zašto i kako se oni koriste kako bi se mogli odlučiti za uslugu.

To je razlog zašto GDPR stavlja više odgovornosti na organizacije i povećava prava pojedinaca.

Neki savjetnici s kojima smo razgovarali kažu da ne postoji 100% GDPR usklađenost. Više je gledanje podataka i procesa s anketa "etički" stajališta i ne toliko o "alat" ili "provjeru".

Dakle, ne tražite predložak, svaka organizacija ima svoje postupke. Pokušajte razviti učinkovitu strategiju zaštite podataka i privatnosti na temelju vašeg scenarija. Ovaj je vodič samo polazna točka s visokim i općim pristupom. U idealnom slučaju morat ćete iskopati u svakom području svog poslovanja i pogledati kako sakupljate, obrađujete, otkrivate, pohranjujete i brišete podatke.

�� Ovaj je vodič isključivo kao smjernica i ne predstavlja pravni savjet ili pravnu analizu. Organizacije će možda trebati potražiti neovisni pravni savjet za posebna pravna pitanja ili upite.

1. Znati ključne pojmove i članke u vezi s GDPR-om

Poklapanje GDPR-a nije samo stvar "popravljanje web stranice". To je dio vaše cijele organizacije.

Postoji samo nekoliko situacija u kojima tvrtke uopće ne obrađuju podatke. U većini slučajeva postoje različite razine ključnog osoblja (HR, IT, marketing, sigurnosni timovi) koji komuniciraju s podacima kupaca i zato trebaju biti svjesni Opće uredbe o zaštiti podataka. To nije emisija za jednu osobu. Potrebne su vam tehničke i pravne implementacije.

Razumijevanje pojmova je veliki korak. Evo nekih koje ćemo koristiti u vodiču i koji će vam pomoći u navigaciji prema GDPR-u:

  • Subjekt podataka – fizička osoba čije osobne podatke obrađuje kontrolor ili obrađivač.
  • Kontrolor podataka – subjekt koji utvrđuje svrhe, uvjete i sredstva obrade osobnih podataka.
  • Osobni podaci – sve informacije povezane s fizičkom osobom ili Subjektom podataka koje se mogu koristiti za izravno ili neizravno identificiranje osobe.
  • Procesor podataka – subjekt koji obrađuje podatke u ime kontrolora podataka.

Zatim se upoznajte sa donjim člancima. To će otežati vaš prijelaz na GDPR.

  • Umjetnost. 5: Načela koja se odnose na obradu osobnih podataka.
  • Umjetnost. 6: Zakonske osnove obrade osobnih podataka.
  • Umjetnost. 12 – 22: Prava subjekta podataka (pristup, prenosivost podataka, pravo da se zaborave itd.)
  • Umjetnost. 25 & 32: Tvrtke trebaju primijeniti potrebne mjere zaštite kako bi zaštitili osobne podatke subjekta podataka.

Steps Koraci:

  • Odvojite vrijeme za čitanje zakona.
  • Pogledajte naš cjeloviti Vodič za WordPress GDPR.
  • Pažljivo obradite korisničke podatke. Tretirajte se onako kako biste postupali s poslovnim tajnama.
  • Procijenite svoje proizvode, usluge, alate, pružatelje usluga itd. Prema GDPR dispozicijama.
  • Upoznajte svoje suradnike o GDPR rizicima i koristima.

2. Što sada učiniti za ispunjavanje GDPR-a

Trebali biste djelovati na nekoliko različitih područja:

2.1. Kartiranje podataka

Važan korak prema poštivanju GDPR-a je razumjeti kako se kreću podaci u vašoj organizaciji. Dokumentiranje načina na koji informacije teče u vašoj tvrtki pomoću inventara pomaže vam pokazati da se slažete. Dobra polazišna točka trebala bi biti ova mapa podataka: Predložak GDPR podataka

karta podataka sukladnosti gdpr

Mapiranje protoka podataka također će vam pomoći u prepoznavanju područja koja bi mogla uzrokovati probleme s usaglašavanjem s GDPR-om. Zapamtite da se operacije obrade mogu provoditi samo ako se kontroler podataka može osloniti barem na zakonitu osnovu. Najprikladnija zakonska osnova ovisit će o osobnim podacima koji se obrađuju i svrha obrade.

2.2. Pravila o privatnosti

Pregledajte i ažurirajte svoju trenutnu politiku privatnosti. Ovo je prvo mjesto koje će ljudi gledati kako bi provjerili usaglašenost s GDPR-om.

Morate priopćiti pojedincima pravni temelj za obradu podataka, razdoblja zadržavanja, pravo žalbe kada kupci nisu zadovoljni vašom implementacijom, hoće li njihovi podaci biti podložni automatiziranom odlučivanju i njihova prava po GDPR-u..

Nadalje, informacije morate dati na sažetu, lako razumljivu i jasnom jeziku.

2.3. Trening

GDPR je projekt poslovne promjene – ljudi s kojima radite moraju razumjeti važnost zaštite podataka i biti osposobljeni za osnovne principe GDPR-a i postupke koji se provode za usklađivanje.

Podijelite ovaj članak s ljudima o kojima trebaju biti informirani.

Steps Koraci:

  • Kartiranje i dokumentiranje tokova podataka koje provode obrađivači podataka.
  • Budite potpuno transparentni prema korisniku koji se odrekne svojih podataka.
  • Obavijestite svoje zaposlenike, prodavače i klijente u skladu s člankom Art. 13 od GDPR-a.
  • Konfigurirajte svoj način pristanka tako da koristi izričit / aktivan pristanak pri obradi osjetljivih osobnih podataka na vašoj web stranici.

3. sljedeći koraci za poštivanje GDPR-a

Kontrolori podataka trebaju uvijek surađivati ​​s Nadzornim tijelom u pogledu ispunjenja njihovih zadataka.

Zakažite redovite revizije aktivnosti obrade podataka i sigurnosnih kontrola u vašoj organizaciji. Ažurirajte evidenciju obrade osobnih podataka radi potvrde.

3.1. Provjerite što drugi dobavljači rade

Budući da GDPR nema jasna pravila, tržište će morati smisliti različite taktike kako bi osiguralo da su podaci u skladu, ali ne i da žrtvuju korisničko iskustvo. Mnogo je tvrtki izašlo s novim značajkama, pa provjerite da li na web lokacijama konkurenata postoje promjene i najbolja praksa za vašu nišu.

3.2. Prijavite kršenje podataka

Trebali biste osigurati da imate odgovarajuće postupke za otkrivanje, prijavljivanje i istraživanje ne samo unutarnjih, već i vanjskih kršenja podataka. Budite pametni prilikom postavljanja matrice kršenja podataka na temelju ozbiljnosti kršenja podataka, broja pogođenih subjekata podataka, vrste utjecaja na osobne podatke itd..

Tipično, o kršenju podataka morate prijaviti Nadzorno tijelo u roku od 72 sata, osim ako su osobni podaci anonimni ili šifrirani.

3.3. Nastavite raditi na operativnim politikama, postupcima i procesima

Kao što je već spomenuto, privatnost nije jednokratni projekt. Neprekinuti je rad kako bi bili sigurni da su podaci koje prikupljate sigurni i upotrebljavaju se s pravilnim opsegom. Trebali biste pregledati svoje postupke kako biste osigurali da obuhvaćaju sva prava koja imaju pojedinci, uključujući način na koji biste izbrisali osobne podatke ili davali podatke elektroničkim putem u uobičajenom formatu.

Steps Koraci:

  • Dizajn mehanizam za izvješćivanje o kršenju podataka.
  • Uskladiti sve interne procedure u skladu s GDPR-om i politikama privatnosti.
  • Pregledajte i ažurirajte ugovore o zaposlenima, kupcima i dobavljačima.
  • Osigurajte osobne podatke odgovarajućim organizacijskim i tehničkim mjerama.
  • Provjerite odgovaraju li prijenosi podataka izvan EU zahtjevima GDPR-a. Ne zaboravite na prijelazne točke.

4. Prilagodbe web mjesta

Ova je tema malo kontroverzna, posebno za programere i trgovce. Rekao bih da prilagođavanje obrazaca i dobivanje pristanka za kolačiće treba riješiti 80% problema. Međutim, imajte na umu, ovo nije pravni savjet.

4.1. Obrasci za prijavu

Ovo je standardni način na koji tvrtke prikupljaju informacije, tako da morate prilagoditi sve obrasce koje koristite. Ne postoji konsenzus o tome kako najbolje to učiniti, ali slijedimo preporuke davatelja usluga e-pošte. Ovaj infographic o usklađivanju s prijavama za prijavu GDPR dobro je polazište.

4.2. Pristanak kolačića

Kratka verzija: na običnom jeziku obavijestite svoje posjetitelje o svrsi vaših kolačića i tragača prije postavljanja bilo čega osim strogo potrebnih kolačića.

Postoje različiti načini na koje tvrtke to primjenjuju GDPR referenca da kolačići ne raščiste stvari. Svakako, postoje tzv funkcionalni kolačići koji se koriste za sesiju, ali trebate određeni pristanak da postavite kolačić za praćenje korisnika.

Ono što ovdje trebate znati je to još jedan europski propis (ePrivacy) izlazi koji će zakone o kolačićima još više regulirati.

5. Ostala pitanja usklađenosti s GDPR-om koje treba razmotriti

Evo i drugih aspekata GDPR-a koji nisu manje važni:

5.1. Prijenos i otkrivanje podataka

Oči na prijenos osobnih podataka. Obavezno će obrađivači podataka zatražiti vaše odobrenje kad god imaju namjeru prenijeti podatke izvan EU / EEA. Ista pravila primjenjuju se i kada obrađivači podataka namjeravaju ugovarati dio usluga koje pružaju.

5.2. Procjena utjecaja na zaštitu podataka (DPIA)

GDPR uvodi obvezne DPIA-e za organizacije uključene u procese visokog rizika, poput novih tehnologija koje se primjenjuju, operacija profiliranja koja će vjerojatno utjecati na pojedince, praćenje opsega javno dostupnog područja velikih razmjera itd..

5.3. Procjena legitimnih interesa (LIAs)

Za razliku od DPIA-e, LIA-i su samo najbolja praksa koju su razvili uglavnom stručnjaci za zaštitu privatnosti i odnosi se na sve one situacije u kojima se kontrolori podataka žele osloniti na legitimne interese (marketinške operacije itd.). "interes" može se smatrati kao "legitiman" sve dok upravljač podacima može slijediti ovaj interes na način koji je u skladu sa zaštitom podataka i drugim zakonima.

5.4. Službenici za zaštitu podataka

GDPR će zahtijevati da neke organizacije imenuju službenika za zaštitu podataka (DPO). Organizacije kojima su potrebne DPO uključuju javna tijela, organizacije čije aktivnosti uključuju redovito i sustavno nadziranje subjekata podataka u velikoj mjeri, ili organizacije koje obrađuju ono što je trenutno poznato kao "osjetljivi osobni podaci" u velikoj mjeri.

5.5. Obrada podataka djece

Ako vaša organizacija obrađuje podatke maloljetnih subjekata, morate osigurati da imate prikladne sustave za provjeru pojedinih dobnih skupina i prikupljanje pristanka staratelja. GDPR ima neke posebne odredbe za djecu mlađu od 16 godina (imajte na umu članak 8 GDPR-a)

6. Nadzor i revizija

Poduzeća moraju priznati da je sada zakonom potrebna transparentnost u načinu na koji se podaci koriste i štite. Svaka organizacija (uključujući dobrotvorne organizacije i subjekte iz javnog sektora) mora definirati opseg za koji prikupljaju određene podatke.

Trebali biste prikupljati samo osobne podatke koji su potrebni za pružanje usluge ili proizvoda i ništa više. Također, podaci se ne smiju dijeliti u druge nepovezane svrhe.

Još jedna velika stvar je da podaci budu zaštićeni od hakiranja, točni i ažurirani, pa čak i da ih izbrišete nakon određenog razdoblja.

Opća uredba o zaštiti podataka ostavlja puno prostora za napredak kada je u pitanju zaštita pojedinaca. Zbog toga će buduća Uredba o privatnosti ePrivatnosti donijeti još veću transparentnost, posebno u velikim podacima, bacajući malo svjetla na pojavu i svrhu analitike. To bi trebao biti dovoljno dobar razlog za redovito praćenje i reviziju podataka.

Ne zaustavljajte se ovdje Posjetite službene resurse koje smo koristili za ovaj vodič i saznajte o privatnosti.

Na kraju, postoje razine usklađenosti i trebali biste odlučiti koji vam odgovara na temelju puno više faktora od onih koji su ovdje navedeni. Međutim, ovo je sjajan početak koji vas usmjerava u pravom smjeru i prema GDPR usklađenosti. Naravno da kao posao svi moramo ostati konkurentni na tržištu kako bi došlo do kompromisa.

Kako se pripremate za poštivanje GDPR-a? Podijelite svoje najbolje prakse u komentarima!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map