6 pagrindiniai žingsniai užtikrinant GDPR laikymąsi – žingsniai, kurių reikia imtis nedelsiant

GDPR atitiktis


Ne visi gali būti GDPR atitikties specialistai, tačiau tai nereiškia, kad turėtumėte nepaisyti duomenų apsaugos ir privatumo; ypač jei vadovaujate verslui. Nors buvo daug kalbėta apie GDPR laikymąsi, pasirengimas GDPR nėra vienkartinis projektas. Tai nuolatinis požiūris į verslą.

Pasitikėjimas žmonėmis, su kuriais dalijamės savo duomenimis (žiūrime į jus „Facebook“!), Yra didelė dalis to, kaip mes verslą vykdome internete. Kai įmonei reikia asmeninių duomenų, kad ji galėtų teikti savo paslaugas, vartotojas turėtų žinoti, kodėl ir kaip ji naudojama, kad galėtų nuspręsti dėl paslaugos.

Štai kodėl GDPR daugiau atsakomybės priskiria organizacijoms ir padidina asmenų teises.

Kai kurie konsultantai, su kuriais kalbėjome, sakė, kad nėra tokio dalyko, kuris atitiktų 100% BVP. Tai daugiau apie duomenų ir procesų peržvalgą iš "etiška" požiūriu ir ne tiek apie "įrankiai" arba "kontroliniai sąrašai".

Taigi, neieškokite šablono, kiekviena organizacija turi savo elgesio būdą. Pabandykite sukurti veiksmingą duomenų apsaugos ir privatumo strategiją, pagrįstą jūsų scenarijumi. Šis vadovas yra tik atspirties taškas su aukšto lygio ir bendru požiūriu. Idealiu atveju jums reikės įsigilinti į kiekvieną jūsų verslo sritį ir pažiūrėti, kaip renkate, apdorojate, atskleidžiate, kaupiate ir ištrinate duomenis..

�� Šis vadovas skirtas tik orientacijai ir nėra teisinis patarimas ar teisinė analizė. Organizacijos gali tekti kreiptis į nepriklausomą teisinę konsultaciją konkrečiais teisiniais klausimais ar klausimais.

1. Žinoti pagrindines sąvokas ir straipsnius, susijusius su GDPR

Atitiktis GDPR reiškia ne tik "svetainės taisymas". Tai yra visos jūsų organizacijos dalis.

Yra tik kelios situacijos, kai įmonės išvis neapdoroja informacijos. Daugeliu atvejų yra skirtingo lygio darbuotojai (HR, IT, rinkodaros, saugos komandos), kurie sąveikauja su klientų duomenimis, todėl turėtų žinoti apie Bendrąjį duomenų apsaugos reglamentą. Tai nėra vieno žmogaus pasirodymas. Jums reikia ir techninio, ir teisinio diegimo.

Sąvokų supratimas yra didelis žingsnis. Štai keletas, kuriuos naudosime vadove ir kurie padės jums naršyti GDPR:

  • Duomenų subjektas – fizinis asmuo, kurio asmens duomenis tvarko duomenų valdytojas ar tvarkytojas.
  • Duomenų valdytojas – subjektas, kuris nustato asmens duomenų tvarkymo tikslus, sąlygas ir priemones.
  • Asmeniniai duomenys – bet kokia informacija, susijusi su fiziniu asmeniu ar duomenų subjektu, kuri gali būti naudojama tiesiogiai ar netiesiogiai identifikuoti asmenį.
  • Duomenų tvarkytojas – subjektas, kuris duomenis tvarko duomenų valdytojo vardu.

Toliau susipažinkite su toliau pateiktais straipsniais. Tai palengvins jūsų perėjimą prie GDPR.

  • Menas 5: Asmens duomenų tvarkymo principai.
  • Menas 6: Teisėti asmens duomenų tvarkymo pagrindai.
  • Menas 12 – 22 dienomis: Duomenų subjekto teisės (prieiga, duomenų perkeliamumas, teisė būti pamirštam ir kt.)
  • Menas. 25 & 32: Įmonės turėtų įgyvendinti būtinas apsaugos priemones duomenų subjekto asmens duomenims apsaugoti.

⚡ Veiksmo veiksmai:

  • Neskubėkite perskaityti įstatymų.
  • Peržiūrėkite mūsų išsamų „WordPress“ GDPR vadovą.
  • Atidžiai tvarkykite vartotojo duomenis. Elkitės taip, kaip elgtumėtės su komercinėmis paslaptimis.
  • Įvertinkite savo gaminius, paslaugas, įrankius, teikėjus ir kt. Pagal GDPR.
  • Trumpai informuokite savo bendradarbius apie GDPR riziką ir naudą.

2. Ką daryti norint atitikti GDPR?

Turėtumėte imtis veiksmų keliose srityse:

2.1. Duomenų žemėlapis

Svarbus žingsnis siekiant atitikti GDPR yra suprasti, kaip duomenys juda jūsų organizacijoje. Dokumentavus informacijos srautą jūsų įmonėje, sudarydamas aprašą, galite pademonstruoti, kad laikotės. Geras išeities taškas turėtų būti šis duomenų žemėlapis: GDPR duomenų žemėlapio šablonas

„gdpr“ atitikties duomenų žemėlapis

Duomenų srauto žemėlapio sudarymas taip pat padės nustatyti sritis, kurios gali sukelti GDPR laikymosi problemų. Atminkite, kad duomenų tvarkymo operacijas galima atlikti tik tuo atveju, jei duomenų valdytojas gali pasikliauti bent teisėtu pagrindu. Tinkamiausias teisėtas pagrindas priklausys nuo tvarkomų asmens duomenų ir tvarkymo tikslų.

2.2. Privatumo politika

Peržiūrėkite ir atnaujinkite dabartinę privatumo politiką. Tai pirmoji vieta, kurioje žmonės norės patikrinti, ar laikomasi GDPR.

Jūs turite pranešti asmenims apie duomenų tvarkymo teisinį pagrindą, saugojimo laikotarpius, teisę skųstis, kai klientai nepatenkinti jūsų įgyvendinimu, ar jų duomenims bus taikomas automatinis sprendimų priėmimas, ir apie jų teises pagal GDPR.

Be to, turite pateikti informaciją glaustai, lengvai suprantamai ir aiškiai.

2.3. Mokymai

GDPR yra verslo pokyčių projektas – žmonės, su kuriais dirbate, turi suprasti duomenų apsaugos svarbą ir būti mokomi apie pagrindinius GDPR principus ir įgyvendinamas procedūras, užtikrinančias atitiktį..

Dalykitės šiuo straipsniu su žmonėmis, kuriuos reikia informuoti.

⚡ Veiksmo veiksmai:

  • Duomenų tvarkytojų atlikti žemėlapių ir dokumentų srautai.
  • Būkite visiškai skaidrūs vartotojui, kuris atsisako savo informacijos.
  • Informuokite savo darbuotojus, pardavėjus ir klientus pagal Art. 13 GDPR.
  • Konfigūruokite savo sutikimo būdą naudoti aiškų / aktyvų sutikimą, kai jūsų svetainėje tvarkomi neskelbtini asmens duomenys.

3. Tolesni GDPR laikymosi žingsniai

Duomenų valdytojai visada turėtų bendradarbiauti su priežiūros institucija vykdydami savo užduotis.

Suplanuokite reguliarų duomenų tvarkymo veiklos ir saugos kontrolės auditą savo organizacijoje. Atnaujinkite asmens duomenų tvarkymo įrašus, kad patvirtintumėte sutikimą.

3.1. Patikrinkite, ką veikia kiti pardavėjai

Kadangi GDPR neturi aiškių taisyklių, rinka turės sugalvoti kitokią taktiką, kad įsitikintų, jog duomenys atitinka reikalavimus, tačiau nereikia aukoti vartotojo patirties. Daugybė kompanijų išleido naujų funkcijų, todėl būtinai patikrinkite konkurentų svetaines, ar nėra pakeitimų ir gerosios patirties jūsų nišoje.

3.2. Pranešti apie duomenų pažeidimus

Turėtumėte įsitikinti, kad turite tinkamas procedūras, skirtas aptikti, pranešti ir tirti ne tik vidinius, bet ir išorinius duomenų pažeidimus. Būkite protingi nustatydami duomenų pažeidimų matricą, pagrįstą duomenų pažeidimo sunkumu, paveiktų duomenų subjektų skaičiumi, paveiktų asmens duomenų tipu ir kt..

Paprastai, turite pranešti priežiūros institucijai apie duomenų pažeidimus per 72 valandas, nebent asmens duomenys būtų anonimizuoti ar užšifruoti.

3.3. Tęskite veiklos strategijų, procedūrų ir procesų kūrimą

Kaip minėta anksčiau, privatumas nėra vienkartinis projektas. Nuolat stengiamės įsitikinti, kad renkami duomenys yra saugūs ir naudojami tinkamai. Turėtumėte peržiūrėti savo procedūras, kad įsitikintumėte, jog jos apima visas asmenų teises, įskaitant tai, kaip ištrintumėte asmens duomenis ar pateiktumėte duomenis elektroniniu būdu įprastu formatu.

⚡ Veiksmo veiksmai:

  • Suprojektuokite duomenų pažeidimų ataskaitų teikimo mechanizmą.
  • Visas vidaus procedūras suderinkite su GDPR ir privatumo politika.
  • Peržiūrėkite ir atnaujinkite darbuotojų, klientų ir tiekėjų sutartis.
  • Saugokite asmens duomenis naudodamiesi tinkamomis organizacinėmis ir techninėmis priemonėmis.
  • Patikrinkite, ar duomenų perdavimas už ES ribų atitinka GDPR reikalavimus. Nepamirškite apie perėjimo taškus.

4. Svetainės pritaikymas

Ši tema yra šiek tiek prieštaringa, ypač kūrėjams ir rinkodaros specialistams. Aš sakyčiau, kad pakoregavus formas ir gavus sutikimą dėl slapukų, 80% problemų turėtų būti išspręsta. Tačiau atminkite, kad tai nėra teisinis patarimas.

4.1. Atsisakymo formos

Tai yra standartinis būdas, kai įmonės renka informaciją, todėl turite pakoreguoti visas jūsų naudojamas formas. Nėra sutarimo, kaip tai padaryti geriausiai, tačiau mes laikomės savo el. Pašto paslaugų teikėjo rekomendacijų. Tai infografika tai, kad pasirinkus pasirinkimą GDPR atitiktis yra geras atspirties taškas.

4.2. Slapuko sutikimas

Trumpa versija: informuokite lankytojus aiškia kalba apie jūsų slapukų ir stebėjimo priemonių paskirtį prieš nustatydami ką nors kitą, išskyrus griežtai būtinus slapukus..

Yra įvairių būdų, kaip įmonės tai įgyvendina GDPR nuoroda slapukams, viskas neišsiaiškinama. Žinoma, yra vadinamųjų funkciniai slapukai kurie naudojami sesijai, tačiau norint gauti slapuką, kad būtų galima sekti vartotoją, jums reikalingas specialus sutikimas.

Ką čia reikia žinoti, tai yra kitas Europos reglamentas (e. privatumas), kuris dar labiau įteisins slapukus.

5. Kiti svarstomi GDPR laikymosi klausimai

Čia yra ir kiti ne mažiau svarbūs GDPR aspektai:

5.1. Duomenų perdavimas ir atskleidimas

Asmens duomenų perdavimo akys. Įsitikinkite, kad duomenų tvarkytojai paprašys jūsų patvirtinimo, kai jie ketina perduoti duomenis už ES / EEE. Tos pačios taisyklės galioja ir tada, kai duomenų tvarkytojai ketina perduoti subrangos paslaugas daliai jų teikiamų paslaugų.

5.2. Duomenų apsaugos poveikio vertinimai (DPIA)

GDPR įveda privalomus DPIA organizacijoms, susijusioms su didelės rizikos tvarkymu, pavyzdžiui, diegiamos naujos technologijos, profiliavimo operacija, kuri gali smarkiai paveikti asmenis, plataus masto viešai prieinamos zonos stebėjimas ir kt..

5.3. Teisėtų interesų vertinimai (LIA)

Skirtingai nuo DPIA, LIA yra tik geriausia praktika, kurią daugiausia kuria privatumo specialistai ir taikoma visoms toms situacijoms, kai duomenų valdytojai siekia remtis teisėtais interesais (rinkodaros operacijomis ir pan.). An "susidomėjimas" galima laikyti "teisėtas" tol, kol duomenų valdytojas gali siekti šio intereso laikydamasis duomenų apsaugos ir kitų įstatymų.

5.4. Duomenų apsaugos pareigūnai

Kad GDPR reikalautų, kai kurios organizacijos paskiria duomenų apsaugos pareigūną (DAP). Organizacijos, kurioms reikia DAP, apima valdžios institucijas, organizacijas, kurių veikla apima nuolatinį ir sistemingą duomenų subjektų stebėjimą dideliu mastu, arba organizacijas, kurios tvarko tai, kas šiuo metu vadinama "neskelbtini asmens duomenys" dideliu mastu.

5.5. Tvarkomi vaikų duomenys

Jei jūsų organizacija tvarko nepilnamečių asmenų duomenis, turite įsitikinti, kad turite tinkamas sistemas, leidžiančias patikrinti asmens amžių ir surinkti globėjų sutikimus. GDPR yra keletas specialių nuostatų vaikams iki 16 metų (atkreipkite dėmesį į GDPR 8 straipsnį)

6. Stebėti ir audituoti

Verslo įmonės turi pripažinti, kad dabar įstatymai reikalauja skaidrumo, kaip duomenys naudojami ir saugomi. Kiekviena organizacija (įskaitant labdaros organizacijas ir viešojo sektoriaus subjektus) turi apibrėžti apimtį, kuriai jie renka konkrečius duomenis.

Reikėtų rinkti tik asmeninę informaciją, reikalingą paslaugai ar produktui teikti, ir nieko daugiau. Be to, duomenys neturėtų būti dalijami kitais nesusijusiais tikslais.

Kitas didelis dalykas yra apsaugoti duomenis nuo įsilaužimo, tikslūs ir atnaujinti ir net po kurio laiko juos ištrinti.

Bendrasis duomenų apsaugos reglamentas palieka daug galimybių tobulinti asmenų apsaugą. Štai kodėl būsimasis E. privatumo reglamentas suteiks dar daugiau skaidrumo, ypač didžiųjų duomenų srityje, paaiškindamas analizės atsiradimą ir tikslą. Tai turėtų būti pakankamai gera priežastis reguliariai stebėti ir tikrinti jūsų duomenis.

Nesustokite čia. Eikite į oficialius išteklius, kuriuos naudojome šiam vadovui, ir sužinokite apie privatumą.

Galų gale yra atitikties lygiai, ir jūs turėtumėte nuspręsti, kuris iš jų jums tinka, remdamasis daug daugiau veiksnių nei išvardyti čia. Tačiau tai yra puiki pradžia, leidžianti žengti teisinga linkme ir link GDPR laikymosi. Žinoma, kaip verslas, mes visi turime išlikti konkurencingi rinkoje, taigi bus keletas kompromisų.

Kaip ruošiatės atitikti GDPR? Pasidalinkite savo geriausia patirtimi komentaruose!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map