6 βασικά βήματα για τη διασφάλιση της συμμόρφωσης με το GDPR – Τα βήματα που πρέπει να ακολουθήσετε αμέσως

Συμμόρφωση GDPR


Δεν μπορούν όλοι να είναι ειδικοί συμμόρφωσης GDPR, αλλά αυτό δεν σημαίνει ότι πρέπει να αγνοήσετε την προστασία δεδομένων και το απόρρητο. ειδικά εάν διευθύνετε μια επιχείρηση. Παρόλο που έχουν γίνει πολλές συζητήσεις σχετικά με τη συμμόρφωση του GDPR, το να είναι έτοιμο για GDPR δεν είναι ένα μεμονωμένο έργο. Είναι μια συνεχής προσέγγιση στις επιχειρήσεις.

Η εμπιστοσύνη στα άτομα με τα οποία μοιραζόμαστε τα δεδομένα μας (σε κοιτάζω Facebook!) Είναι ένα μεγάλο μέρος του τρόπου με τον οποίο δραστηριοποιούμαστε διαδικτυακά. Όταν μια εταιρεία χρειάζεται προσωπικά δεδομένα για να εκτελέσει την υπηρεσία της, ο χρήστης πρέπει να γνωρίζει γιατί και πώς χρησιμοποιούνται, ώστε να μπορούν να αποφασίσουν για την υπηρεσία.

Αυτός είναι ο λόγος για τον οποίο ο GDPR δίνει μεγαλύτερη ευθύνη στους οργανισμούς και αυξάνει τα δικαιώματα των ατόμων.

Μερικοί σύμβουλοι μιλήσαμε για να πουν ότι δεν υπάρχει 100% συμμόρφωση με το GDPR. Πρόκειται περισσότερο για μια ματιά στα δεδομένα και τις διαδικασίες από ένα "ηθικά" άποψη και όχι τόσο πολύ "εργαλεία" ή "λίστες ελέγχου".

Επομένως, μην ψάχνετε για ένα πρότυπο, κάθε οργανισμός έχει τον τρόπο να κάνει πράγματα. Προσπαθήστε να αναπτύξετε αποτελεσματική στρατηγική προστασίας δεδομένων και απορρήτου βάσει του σεναρίου σας. Αυτός ο οδηγός είναι απλώς ένα σημείο εκκίνησης, με μια υψηλού επιπέδου και γενική προσέγγιση. Στην ιδανική περίπτωση, θα πρέπει να σκάψετε σε κάθε τομέα της επιχείρησής σας και να δείτε πώς συλλέγετε, επεξεργάζεστε, αποκαλύπτετε, αποθηκεύετε και διαγράφετε δεδομένα.

�� Αυτός ο οδηγός προορίζεται αποκλειστικά για καθοδήγηση και δεν αποτελεί νομική συμβουλή ή νομική ανάλυση. Οι οργανισμοί ενδέχεται να χρειαστεί να αναζητήσουν ανεξάρτητες νομικές συμβουλές για συγκεκριμένα νομικά ζητήματα ή ερωτήματα.

1. Γνωρίστε τις βασικές έννοιες και άρθρα σχετικά με το GDPR

Το να συμμορφώνεστε με το GDPR δεν είναι μόνο θέμα "διόρθωση ιστότοπου". Είναι μέρος ολόκληρου του οργανισμού σας.

Υπάρχουν μόνο μερικές καταστάσεις όπου οι επιχειρήσεις δεν επεξεργάζονται καθόλου πληροφορίες. Στις περισσότερες περιπτώσεις, υπάρχουν διαφορετικά επίπεδα βασικού προσωπικού (HR, IT, μάρκετινγκ, ομάδες ασφαλείας) που αλληλεπιδρούν με τα δεδομένα των πελατών και επομένως θα πρέπει να γνωρίζουν τον Γενικό Κανονισμό Προστασίας Δεδομένων. Δεν είναι παράσταση ενός ατόμου. Χρειάζεστε τεχνικές και νομικές εφαρμογές.

Κατανόηση των όρων είναι ένα μεγάλο βήμα. Εδώ είναι μερικά που θα χρησιμοποιήσουμε στον οδηγό και θα σας βοηθήσουμε να πλοηγηθείτε στο GDPR:

  • Υποκείμενο δεδομένων – φυσικό πρόσωπο του οποίου τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία από υπεύθυνο επεξεργασίας ή επεξεργαστή.
  • Ελεγκτής δεδομένων – η οντότητα που καθορίζει τους σκοπούς, τις προϋποθέσεις και τα μέσα επεξεργασίας των προσωπικών δεδομένων.
  • Προσωπικά δεδομένα – οποιεσδήποτε πληροφορίες σχετίζονται με φυσικό πρόσωπο ή υποκείμενο δεδομένων που μπορούν να χρησιμοποιηθούν για την άμεση ή έμμεση αναγνώριση του ατόμου.
  • Επεξεργαστής δεδομένων – η οντότητα που επεξεργάζεται δεδομένα για λογαριασμό του Ελεγκτή Δεδομένων.

Στη συνέχεια, εξοικειωθείτε με τα παρακάτω άρθρα. Αυτό θα κάνει τη μετάβασή σας στον GDPR λιγότερο δύσκολη.

  • Τέχνη. 5: Αρχές που σχετίζονται με την επεξεργασία προσωπικών δεδομένων.
  • Τέχνη. 6: Νόμιμες βάσεις επεξεργασίας προσωπικών δεδομένων.
  • Τέχνη. 12 – 22: Δικαιώματα υποκειμένων δεδομένων (πρόσβαση, φορητότητα δεδομένων, δικαίωμα ξεχασμού κ.λπ.)
  • Τέχνη. 25 & 32: Οι εταιρείες πρέπει να εφαρμόσουν τα απαραίτητα μέτρα προστασίας για την προστασία των προσωπικών δεδομένων του υποκειμένου των δεδομένων.

Steps Βήματα δράσης:

  • Πάρτε το χρόνο σας για να διαβάσετε το νόμο.
  • Ρίξτε μια ματιά στον Πλήρες οδηγό WordPress GDPR.
  • Επεξεργαστείτε προσεκτικά τα δεδομένα χρήστη. Αντιμετωπίστε το όπως θα αντιμετωπίζατε τα εμπορικά μυστικά.
  • Αξιολογήστε τα προϊόντα, τις υπηρεσίες, τα εργαλεία, τους παρόχους σας κ.λπ. σύμφωνα με τις διατάξεις του GDPR.
  • Ενημερώστε τους συνεργάτες σας σχετικά με τους κινδύνους και τα οφέλη του GDPR.

2. Τι πρέπει να κάνετε για τη συμμόρφωση του GDPR τώρα

Θα πρέπει να αναλάβετε δράση σε λίγες διαφορετικές περιοχές:

2.1. Χαρτογράφηση δεδομένων

Ένα σημαντικό βήμα προς τη συμμόρφωση με τον GDPR είναι να κατανοήσετε πώς κινούνται τα δεδομένα στον οργανισμό σας. Η τεκμηρίωση του τρόπου με τον οποίο ρέουν οι πληροφορίες στην εταιρεία σας με την πραγματοποίηση αποθέματος σάς βοηθά να αποδείξετε ότι συμμορφώνεστε. Ένα καλό σημείο εκκίνησης πρέπει να είναι αυτός ο χάρτης δεδομένων: Πρότυπο χάρτη δεδομένων GDPR

Χάρτης δεδομένων συμμόρφωσης gdpr

Η χαρτογράφηση της ροής δεδομένων θα σας βοηθήσει επίσης να εντοπίσετε περιοχές που θα μπορούσαν να προκαλέσουν προβλήματα συμμόρφωσης με τον GDPR. Να θυμάστε ότι οι εργασίες επεξεργασίας μπορούν να πραγματοποιηθούν μόνο εάν ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να βασίζεται τουλάχιστον σε νόμιμη βάση. Η καταλληλότερη νόμιμη βάση θα εξαρτηθεί από τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία και τους σκοπούς επεξεργασίας.

2.2. Πολιτική απορρήτου

Ελέγξτε και ενημερώστε την τρέχουσα Πολιτική απορρήτου σας. Αυτή είναι η πρώτη θέση που θα αναζητήσουν οι χρήστες για συμμόρφωση με τον GDPR.

Πρέπει να κοινοποιήσετε σε ιδιώτες τη νομική βάση για την επεξεργασία των δεδομένων, τις περιόδους διατήρησης, το δικαίωμα καταγγελίας όταν οι πελάτες είναι δυσαρεστημένοι με την εφαρμογή σας, εάν τα δεδομένα τους θα υπόκεινται σε αυτοματοποιημένη λήψη αποφάσεων και τα δικαιώματά τους βάσει του GDPR.

Επιπλέον, πρέπει να παρέχετε τις πληροφορίες σε περιεκτική, κατανοητή και σαφή γλώσσα.

2.3. Εκπαίδευση

Το GDPR είναι ένα έργο αλλαγής επιχείρησης – τα άτομα με τα οποία εργάζεστε πρέπει να κατανοήσουν τη σημασία της προστασίας δεδομένων και να εκπαιδευτούν στις βασικές αρχές του GDPR και στις διαδικασίες που εφαρμόζονται για τη συμμόρφωση.

Μοιραστείτε αυτό το άρθρο με άτομα που πρέπει να ενημερωθούν.

Steps Βήματα δράσης:

  • Ροές δεδομένων χαρτών και εγγράφων που εκτελούνται από επεξεργαστές δεδομένων.
  • Να είστε απόλυτα διαφανείς στον χρήστη που παραιτείται από τις πληροφορίες του.
  • Δώστε ενημερωτική ειδοποίηση στους υπαλλήλους, τους προμηθευτές και τους πελάτες σας ανά άρθρο. 13 του GDPR.
  • Διαμορφώστε τη μέθοδο συγκατάθεσής σας για να χρησιμοποιήσετε ρητή / ενεργή συγκατάθεση κατά την επεξεργασία ευαίσθητων προσωπικών δεδομένων στον ιστότοπό σας.

3. Βήματα συμμόρφωσης GDPR που θα ακολουθήσουν

Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει πάντα να συνεργάζονται με την Εποπτική Αρχή για την εκπλήρωση των καθηκόντων τους.

Προγραμματίστε τακτικούς ελέγχους για δραστηριότητες επεξεργασίας δεδομένων και ελέγχους ασφαλείας στον οργανισμό σας. Ενημερώστε τα αρχεία της επεξεργασίας προσωπικών δεδομένων για απόδειξη συγκατάθεσης.

3.1. Ελέγξτε τι κάνουν άλλοι προμηθευτές

Επειδή το GDPR δεν έχει σαφείς κανόνες, η αγορά θα πρέπει να βρει διαφορετικές τακτικές για να βεβαιωθεί ότι τα δεδομένα συμμορφώνονται αλλά δεν θυσιάζουν την εμπειρία των χρηστών. Πολλές εταιρείες βγήκαν με νέες δυνατότητες, οπότε φροντίστε να ελέγξετε τους ιστότοπους ανταγωνιστών για αλλαγές και βέλτιστες πρακτικές για τη θέση σας.

3.2. Αναφορά παραβιάσεων δεδομένων

Πρέπει να βεβαιωθείτε ότι έχετε εφαρμόσει τις κατάλληλες διαδικασίες για τον εντοπισμό, την αναφορά και τη διερεύνηση όχι μόνο εσωτερικών αλλά και εξωτερικών παραβιάσεων δεδομένων. Να είστε έξυπνοι κατά τη ρύθμιση της μήτρας παραβίασης δεδομένων με βάση τη σοβαρότητα παραβίασης δεδομένων, τον αριθμό των υποκειμένων δεδομένων που επηρεάζονται, τον τύπο των προσωπικών δεδομένων που επηρεάζονται κ.λπ..

Τυπικά, πρέπει να αναφέρετε παραβιάσεις δεδομένων στην Εποπτική Αρχή εντός 72 ωρών, εκτός αν τα προσωπικά δεδομένα ήταν ανώνυμα ή κρυπτογραφημένα.

3.3. Συνεχίστε να εργάζεστε σε επιχειρησιακές πολιτικές, διαδικασίες και διαδικασίες

Όπως αναφέρθηκε προηγουμένως, το απόρρητο δεν είναι ένα έργο ενός χρόνου. Είναι συνεχής δουλειά για να βεβαιωθείτε ότι τα δεδομένα που συλλέγετε είναι ασφαλή και χρησιμοποιούνται με το κατάλληλο πεδίο εφαρμογής. Θα πρέπει να ελέγξετε τις διαδικασίες σας για να βεβαιωθείτε ότι καλύπτουν όλα τα δικαιώματα που έχουν τα άτομα, συμπεριλαμβανομένου του τρόπου με τον οποίο θα διαγράψετε προσωπικά δεδομένα ή θα παρέχετε ηλεκτρονικά δεδομένα σε μια συνήθως χρησιμοποιούμενη μορφή.

Steps Βήματα δράσης:

  • Σχεδιασμός μηχανισμού αναφοράς παραβιάσεων δεδομένων.
  • Ευθυγραμμίστε όλες τις εσωτερικές διαδικασίες με τον GDPR και τις πολιτικές απορρήτου.
  • Ελέγξτε και ενημερώστε τις συμβάσεις υπαλλήλων, πελατών και προμηθευτών.
  • Εξασφαλίστε προσωπικά δεδομένα μέσω κατάλληλων οργανωτικών και τεχνικών μέτρων.
  • Επαληθεύστε εάν οι μεταφορές δεδομένων εκτός ΕΕ συμμορφώνονται με τις απαιτήσεις του GDPR. Μην ξεχνάτε τα σημεία μετάβασης.

4. Προσαρμογές ιστότοπου

Αυτό το θέμα είναι λίγο αμφιλεγόμενο, ειδικά για προγραμματιστές και εμπόρους. Θα έλεγα ότι η προσαρμογή των φορμών και η συναίνεση για cookie θα πρέπει να διορθώσει το 80% των προβλημάτων. Ωστόσο, έχετε υπόψη σας ότι δεν είναι νομική συμβουλή.

4.1. Έντυπα συμμετοχής

Αυτός είναι ο τυπικός τρόπος με τον οποίο οι επιχειρήσεις συλλέγουν πληροφορίες, επομένως πρέπει να προσαρμόσετε όλες τις φόρμες που χρησιμοποιείτε. Δεν υπάρχει συναίνεση για το πώς να το κάνουμε καλύτερα, αλλά ακολουθούμε τις προτάσεις του παρόχου υπηρεσιών email. Αυτό γράφημα το να κάνετε opt-in GDPR συμβατό είναι ένα καλό σημείο εκκίνησης.

4.2. Συγκατάθεση cookie

Η σύντομη έκδοση: ενημερώστε τους επισκέπτες σας σε απλή γλώσσα για το σκοπό των cookie και των ιχνηλατών σας πριν ορίσετε οτιδήποτε άλλο εκτός από τα απολύτως απαραίτητα cookie.

Υπάρχουν διαφορετικοί τρόποι με τους οποίους οι εταιρείες εφαρμόζουν αυτό, και το Αναφορά GDPR στα cookies δεν ξεκαθαρίζει τα πράγματα. Σίγουρα, υπάρχουν τα λεγόμενα λειτουργικά cookies που χρησιμοποιούνται για μια περίοδο σύνδεσης, αλλά χρειάζεστε συγκεκριμένη συγκατάθεση για να ορίσετε ένα cookie για την παρακολούθηση του χρήστη.

Αυτό που πρέπει να ξέρετε εδώ, είναι αυτό έναν άλλο ευρωπαϊκό κανονισμό (ePrivacy) βγαίνει που θα ρυθμίζει ακόμη περισσότερο τα cookies.

5. Άλλα ζητήματα συμμόρφωσης GDPR που πρέπει να ληφθούν υπόψη

Ακολουθούν άλλες πτυχές του GDPR που δεν είναι λιγότερο σημαντικές:

5.1. Μεταφορά δεδομένων και αποκάλυψη

Τα μάτια για την προσωπική μεταφορά δεδομένων. Βεβαιωθείτε ότι οι υπεύθυνοι επεξεργασίας δεδομένων σας θα ζητήσουν την έγκρισή σας όποτε σκοπεύουν να μεταφέρουν δεδομένα εκτός του ΕΕ / ΕΟΧ. Οι ίδιοι κανόνες ισχύουν όταν οι υπεύθυνοι επεξεργασίας δεδομένων προτίθενται να αναθέσουν σε υπεργολαβία μέρος των υπηρεσιών που παρέχουν.

5.2. Αξιολογήσεις επιπτώσεων στην προστασία δεδομένων (DPIA)

Ο GDPR εισάγει υποχρεωτικά DPIA για οργανισμούς που εμπλέκονται σε επεξεργασία υψηλού κινδύνου, όπως νέες τεχνολογίες που αναπτύσσονται, μια λειτουργία προφίλ που ενδέχεται να επηρεάσει σημαντικά τα άτομα, παρακολούθηση μεγάλης κλίμακας μιας δημόσιας προσβάσιμης περιοχής κ.λπ..

5.3. Αξιολογήσεις νόμιμων ενδιαφερόντων (LIA)

Σε αντίθεση με τα DPIA, τα LIA είναι απλώς μια βέλτιστη πρακτική που αναπτύχθηκε κυρίως από ειδικούς της ιδιωτικής ζωής και αναφέρεται σε όλες αυτές τις καταστάσεις όταν οι υπεύθυνοι επεξεργασίας δεδομένων επιδιώκουν να βασίζονται σε νόμιμα συμφέροντα (πράξεις μάρκετινγκ κ.λπ.). Ενα "ενδιαφέρον" μπορεί να θεωρηθεί ως "νόμιμος" εφ ‘όσον ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να επιδιώκει αυτό το συμφέρον με τρόπο που συμμορφώνεται με την προστασία δεδομένων και άλλους νόμους.

5.4. Υπεύθυνοι προστασίας δεδομένων

Ο GDPR θα απαιτήσει από ορισμένους οργανισμούς να ορίσουν έναν υπεύθυνο προστασίας δεδομένων (DPO). Οι οργανισμοί που απαιτούν ΥΠΔ περιλαμβάνουν δημόσιες αρχές, οργανισμούς των οποίων οι δραστηριότητες περιλαμβάνουν την τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή οργανισμούς που επεξεργάζονται αυτό που είναι σήμερα γνωστό ως "ευαίσθητα προσωπικά δεδομένα" σε μία μεγάλη κλίμακα.

5.5. Επεξεργασία δεδομένων παιδιών

Εάν ο οργανισμός σας επεξεργάζεται δεδομένα από ανήλικα άτομα, πρέπει να διασφαλίσετε ότι διαθέτετε επαρκή συστήματα για την επαλήθευση μεμονωμένων ηλικιών και τη συγκέντρωση συναίνεσης από κηδεμόνες. Το GDPR έχει ορισμένες ειδικές διατάξεις για παιδιά κάτω των 16 ετών (παρακαλούμε σημειώστε το άρθρο 8 του GDPR)

6. Παρακολούθηση και έλεγχος

Οι επιχειρήσεις πρέπει να αναγνωρίσουν ότι απαιτείται διαφάνεια σχετικά με τον τρόπο χρήσης και προστασίας των δεδομένων. Κάθε οργανισμός (συμπεριλαμβανομένων των φιλανθρωπικών οργανώσεων και των φορέων του δημόσιου τομέα) πρέπει να ορίσει ένα πεδίο για το οποίο συλλέγουν συγκεκριμένα δεδομένα.

Θα πρέπει να συλλέγετε μόνο προσωπικές πληροφορίες που απαιτούνται για την παροχή της υπηρεσίας ή του προϊόντος και τίποτα περισσότερο. Επίσης, τα δεδομένα δεν πρέπει να κοινοποιούνται για άλλους άσχετους σκοπούς.

Ένα άλλο μεγάλο πράγμα είναι να διατηρήσετε τα δεδομένα ασφαλή από hacking, ακριβή και ενημερωμένα, ακόμη και να τα διαγράψετε μετά από μια περίοδο.

Ο γενικός κανονισμός για την προστασία δεδομένων αφήνει πολλά περιθώρια βελτίωσης όσον αφορά την προστασία των ατόμων. Αυτός είναι ο λόγος για τον οποίο ο μελλοντικός κανονισμός ePrivacy θα φέρει ακόμη μεγαλύτερη διαφάνεια, ειδικά στα Big Data, ρίχνοντας λίγο φως στην εμφάνιση και τον σκοπό των αναλυτικών στοιχείων. Αυτός πρέπει να είναι αρκετά καλός λόγος για την παρακολούθηση και τον έλεγχο των δεδομένων σας σε τακτική βάση.

Μην σταματάς εδώ. Μεταβείτε στους επίσημους πόρους που χρησιμοποιήσαμε για αυτόν τον οδηγό και μάθετε σχετικά με το απόρρητο.

Στο τέλος, υπάρχουν επίπεδα συμμόρφωσης και θα πρέπει να αποφασίσετε ποιο θα σας ταιριάζει με βάση πολύ περισσότερους παράγοντες από αυτούς που αναφέρονται εδώ. Ωστόσο, αυτό είναι ένα υπέροχο ξεκίνημα για να σας οδηγήσει στη σωστή κατεύθυνση και προς τη συμμόρφωση με τον GDPR. Φυσικά, ως επιχείρηση, όλοι πρέπει να διατηρήσουμε τον εαυτό μας ανταγωνιστικό στην αγορά, ώστε να υπάρξουν κάποιες αντισταθμίσεις.

Πώς προετοιμάζεστε για συμμόρφωση με τον GDPR; Μοιραστείτε τις βέλτιστες πρακτικές σας στα σχόλια!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map