6 שלבים עיקריים להבטיח ציות ל- GDPR – הצעדים הנדרשים לנקוט מייד

עמידה ב- GDPR


לא כולם יכולים להיות מומחים להתאמה של GDPR, אך זה לא אומר שעליך להתעלם מהגנת המידע ופרטיות; במיוחד אם אתה מנהל עסק. אף על פי שדיברו רבות על עמידה ב- GDPR, היותה מוכנה ל- GDPR אינה פרויקט חד פעמי. זו גישה מתמשכת לעסקים.

אמון באנשים שאיתם אנו משתפים את הנתונים שלנו (מסתכלים עליכם בפייסבוק!) הוא חלק גדול מהאופן בו אנו עושים עסקים ברשת. כאשר חברה זקוקה לנתונים אישיים כדי לנהל את השירות שלה, המשתמש צריך להיות מודע למה וכיצד משתמשים בהם כדי שיוכלו להחליט על השירות.

זו הסיבה ש- GDPR מטיל אחריות רבה יותר על ארגונים ומגדיל את זכויות הפרטים.

כמה יועצים שדיברנו איתם אומרים כי אין דבר כזה תואם 100% GDPR. זה יותר על להסתכל על נתונים ותהליכים מתוך "אתי" עמדה ולא כל כך הרבה בנושא "כלים" או "רשימות ביקורת".

אז אל תחפש תבנית, לכל ארגון יש את הדרך לעשות דברים. נסה לפתח אסטרטגיית הגנה על נתונים ואסטרטגיה יעילה על סמך התרחיש שלך. מדריך זה הוא רק נקודת התחלה, עם גישה ברמה גבוהה וכללית. באופן אידיאלי, יהיה עליכם להתעמק בכל תחום בעסק שלכם ולבחון כיצד אתם אוספים, מעבדים, חושפים, מאחסנים ומוחקים נתונים.

Guide מדריך זה מיועד אך ורק להדרכה ואינו מהווה ייעוץ משפטי או ניתוח משפטי. ארגונים עשויים להידרש לפנות לייעוץ משפטי עצמאי בנושאים משפטיים ספציפיים או שאלות.

1. הכירו את מושגי המפתח והמאמרים הנוגעים ל- GDPR

להיות תואם ה- GDPR לא נוגע רק "תיקון אתר". זה חלק מכל הארגון שלך.

ישנם רק מעט מצבים שבהם עסקים כלל אינם מעבדים מידע. ברוב המקרים, ישנם רמות שונות של אנשי מפתח (HR, IT, שיווק, צוותי אבטחה) המקיימים אינטראקציה עם נתוני הלקוחות ולכן עליהם להיות מודעים לתקנה הכללית להגנת מידע. זו לא הצגה של אדם אחד. אתה זקוק ליישומים טכניים ומשפטיים כאחד.

הבנת התנאים זה צעד גדול. הנה כמה שנשתמש בהם במדריך ויעזרו לכם לנווט ב- GDPR:

  • נושא נתונים – אדם טבעי שהנתונים האישיים שלו מעובדים על ידי בקר או מעבד.
  • בקר נתונים – הישות שקובעת את המטרות, התנאים והאמצעים לעיבוד נתונים אישיים.
  • מידע אישי – כל מידע הקשור לאדם טבעי או לנושא נתונים שניתן להשתמש בו כדי לזהות את האדם באופן ישיר או עקיף.
  • מעבד מידע – הישות שמעבדת נתונים מטעם מבקר הנתונים.

בשלב הבא, הכר את המאמרים שלהלן. זה יהפוך את המעבר ל- GDPR פחות קשה.

  • אומנות. 5עקרונות הנוגעים לעיבוד נתונים אישיים.
  • אומנות. 6: בסיסים חוקיים של עיבוד נתונים אישיים.
  • אומנות. 12 – 22: זכויות נשאי נתונים (גישה, ניידות נתונים, זכות לשכוח וכו ‘)
  • אומנות. 25 & 32: על חברות ליישם את אמצעי ההגנה הדרושים כדי להגן על המידע האישי של הנבדק.

Steps פעולות פעולה:

  • קח את הזמן שלך לקרוא את החוק.
  • עיין במדריך המלא שלנו ל- WordPress GDPR.
  • עבד את נתוני המשתמש בזהירות. התייחס לזה כמו שאתה מתייחס לסודות מסחריים.
  • הערך את המוצרים, השירותים, הכלים שלך, ספקים וכו ‘בהתאם לנטיות ה- GDPR.
  • תקציר את משתפי הפעולה שלך על סיכונים ותועלות של GDPR.

2. מה לעשות כדי לעמוד בדרישות ה- GDPR כעת

עליכם לנקוט בפעולה קומץ בתחומים שונים:

2.1. מיפוי נתונים

צעד חשוב לעמידה בדרישות ה- GDPR הוא להבין כיצד הנתונים נעים בארגון שלך. תיעוד האופן בו מידע זורם בחברה שלך על ידי יצירת מלאי עוזר לך להוכיח שאתה מציית. נקודת פתיחה טובה צריכה להיות מפת הנתונים הזו: תבנית מפת נתונים של GDPR

מפת נתונים של תאימות gdpr

מיפוי זרימת הנתונים יעזור לכם גם לזהות אזורים העלולים לגרום לבעיות בתאימות ה- GDPR. זכור שניתן לבצע פעולות עיבוד רק אם בקר הנתונים יכול להסתמך לפחות על בסיס חוקי. הבסיס החוקי המתאים ביותר יהיה תלוי בנתונים האישיים המעובדים ובמטרות לעיבודם.

2.2. מדיניות פרטיות

סקור ועדכן את מדיניות הפרטיות הנוכחית שלך. זה המקום הראשון שאנשים יסתכלו לבדוק אם הם עומדים בתנאי ה- GDPR.

עליכם למסור לאנשים את הבסיס החוקי לעיבוד הנתונים, תקופות השמירה, הזכות להתלונן כאשר הלקוחות אינם מרוצים מהביצוע שלכם, האם הנתונים שלהם יהיו נתונים לקבלת החלטות אוטומטיות וזכויותיהם תחת ה- GDPR.

יתר על כן, עליך לספק את המידע בשפה תמציתית, קלה להבנה וברורה.

2.3. אימונים

ה- GDPR הוא פרויקט של שינוי עסקי – האנשים שאתה עובד איתם צריכים להבין את החשיבות של הגנת נתונים ולהיות מאומנים בעקרונות הבסיסיים של ה- GDPR והנהלים המיושמים לצורך ציות..

שתף מאמר זה עם אנשים שצריך לקבל הודעה.

Steps פעולות פעולה:

  • מפה ותעדף זרמי נתונים המבוצעים על ידי מעבדי נתונים.
  • היה שקוף לחלוטין למשתמש שמוותר על המידע שלו.
  • מסר הודעה אינפורמטיבית לעובדים, הספקים והלקוחות שלך לפי אמנות. 13 של ה- GDPR.
  • קבע את התצורה של שיטת ההסכמה שלך לשימוש בהסכמה מפורשת / פעילה בעת עיבוד נתונים אישיים רגישים באתרך.

3. הצעדים להתאמת ה- GDPR לנקוט בהמשך

על מבקרי נתונים לשתף פעולה תמיד עם רשות הפיקוח לגבי מילוי משימותיהם.

קבעו ביקורת שוטפת על פעילויות עיבוד נתונים ובקרות אבטחה בארגון. יש לרשום רישומים של עיבוד נתונים אישיים לצורך הוכחת הסכמה.

3.1. בדוק מה הספקים האחרים עושים

מכיוון של- GDPR אין כללים ברורים, השוק יצטרך לבוא עם טקטיקות שונות כדי לוודא שהנתונים עומדים בתאימות אך לא יקרבו את חווית המשתמש. הרבה חברות יצאו עם תכונות חדשות, לכן הקפד לבדוק באתרי המתחרים שינויים ושיטות עבודה מומלצות עבור הגומחה שלך.

3.2. דווח על הפרות נתונים

עליכם לוודא שיש לכם את הנהלים המתאימים לאיתור, דיווח וחקירה לא רק הפרות נתונים פנימיות אלא גם חיצוניות. היה חכם בעת הגדרת מטריצת הפרות הנתונים על סמך חומרת הפרת הנתונים, מספר הנבדקים שנפגעו, סוג הנתונים האישיים שנפגעו וכו ‘..

בדרך כלל, עליך לדווח על הפרות נתונים לרשות הפיקוח תוך 72 שעות, אלא אם הנתונים האישיים היו אנונימיים או מוצפנים.

3.3. המשך לעבוד על מדיניות, נהלים ותהליכים תפעוליים

כאמור, פרטיות אינה פרויקט חד פעמי. זו עבודה רציפה לוודא שהנתונים שאתה אוסף בטוחים ומשתמשים בהיקף ראוי. עליך לבדוק את הנהלים שלך כדי להבטיח שהם מכסים את כל הזכויות שיש לאנשים, כולל כיצד תמחק נתונים אישיים או תספק נתונים באופן אלקטרוני בפורמט נפוץ..

Steps פעולות פעולה:

  • תכנן מנגנון דיווח על הפרות נתונים.
  • הביאו את כל הנהלים הפנימיים בקנה אחד עם ה- GDPR ומדיניות הפרטיות.
  • בדוק ועדכן חוזי עובדים, לקוחות וספקים.
  • לאבטח נתונים אישיים באמצעות אמצעים ארגוניים וטכניים מתאימים.
  • ודא אם העברות נתונים מחוץ לאיחוד תואמות את דרישות ה- GDPR. אל תשכח מנקודות המעבר.

4. התאמות אתר

נושא זה מעט שנוי במחלוקת, במיוחד עבור מפתחים ומשווקים. הייתי אומר שהתאמת טפסים וקבלת הסכמה לעוגיות צריכה לתקן 80% מהנושאים. עם זאת, יש לזכור, אין מדובר בייעוץ משפטי.

4.1. טפסים להצטרפות

זוהי הדרך הרגילה שבה עסקים אוספים מידע, לכן עליכם להתאים את כל הטפסים בהם אתם משתמשים. אין הסכמה כיצד לעשות זאת בצורה הטובה ביותר, אך אנו עוקבים אחר המלצות ספק שירותי הדוא”ל שלנו. זה אינפוגרפיק נקודת מוצא טובה להפיכת תואם ל- OptR-ins.

4.2. הסכמת עוגיות

הגרסה הקצרה: יידע את המבקרים בשפה רגילה על מטרת העוגיות והעוקבים שלך לפני שתגדיר שום דבר פרט לעוגיות הכרחי בהחלט.

ישנן דרכים שונות שבהן חברות מיישמות זאת, וכן התייחסות ל- GDPR לעוגיות לא מנקה דברים. בטח, יש מה שנקרא עוגיות פונקציונליות שמשמשים להפעלה, אך אתה זקוק להסכמה ספציפית כדי להגדיר קובץ cookie שיעקוב אחר המשתמש.

מה שאתה צריך לדעת כאן, זה תקנה אירופית נוספת (ePrivacy) יוצא אשר יחוקק את העוגיות ביתר שאת.

5. נושאים אחרים להתאמה של ה- GDPR שיש לקחת בחשבון

להלן היבטים נוספים של ה- GDPR החשובים לא פחות:

5.1. העברת נתונים וחשיפה

עיניים בהעברת נתונים אישיים. וודא שמעבדי הנתונים שלך יבקשו את אישורך בכל פעם שהם מתכוונים להעביר נתונים מחוץ ל האיחוד האירופי / EEA. אותם כללים חלים כאשר מעבדי הנתונים מתכוונים לקבל קבלן משנה על חלק מהשירותים שהם מספקים.

5.2. הערכות השפעות על הגנת נתונים (DPIA)

ה- GDPR מציגה DPIA חובה לארגונים העוסקים בעיבוד בסיכון גבוה, כמו טכנולוגיות חדשות שנפרסות, פעולת פרופילציה שעלולה להשפיע על אנשים באופן משמעותי, פיקוח בקנה מידה גדול על אזור נגיש לציבור וכו ‘..

5.3. הערכות אינטרסים לגיטימיים (LIA)

בניגוד למכשירי DPIA, LIAs הם רק שיטות עבודה מומלצות שפותחו בעיקר על ידי מומחי פרטיות ומתייחס לכל אותם מצבים בהם מבקרי הנתונים מבקשים להסתמך על אינטרסים לגיטימיים (פעולות שיווק וכו ‘). א "ריבית" יכול להיחשב כ "לגיטימי" כל זמן שבקר הנתונים יכול להמשיך בעניין זה באופן העומד בהגנה על נתונים וחוקים אחרים.

5.4. קציני הגנת נתונים

ה- GDPR יחייב ארגונים מסוימים לייעד קצין הגנה על נתונים (DPO). ארגונים הדורשים תפקידי ת”ע כוללים רשויות ציבוריות, ארגונים שפעילותם כרוכה במעקב שוטף ושיטתי של נבדקים בהיקף נרחב, או ארגונים המעבדים את מה שכונה כיום. "נתונים אישיים רגישים" בקנה מידה גדול.

5.5. עיבוד נתוני ילדים

אם הארגון שלך מעבד נתונים מנושאים קטינים, עליך לוודא שיש לך מערכות מתאימות לאימות גילאים בודדים ולאסוף הסכמה מצד האפוטרופוסים. ל- GDPR כמה הוראות ספציפיות לילדים מתחת לגיל 16 (שימו לב לסעיף 8 ל- GDPR)

6. פיקוח וביקורת

על עסקים להכיר בכך ששקיפות לגבי אופן השימוש וההגנה של נתונים נדרשת כעת על פי החוק. כל ארגון (כולל ארגוני צדקה וגופים ציבוריים) חייב להגדיר תחום עבורו הם אוספים נתונים ספציפיים.

עליכם לאסוף רק מידע אישי הנדרש בכדי לספק את השירות או המוצר ותו לא. כמו כן, אין לשתף את הנתונים למטרות שאינן קשורות אחרות.

דבר גדול נוסף הוא לשמור על בטיחות הנתונים מפני פריצות, מדויקות ועדכניות ואפילו למחוק אותם לאחר תקופה.

התקנה הכללית להגנת מידע משאירה מקום רב לשיפור בכל הנוגע להגנה על אנשים. זו הסיבה שתקנת ה- ePrivacy העתידית תביא לשקיפות רבה עוד יותר, במיוחד בביג דאטה, ותשפוך מעט אור על התרחשות ומטרת הניתוח. זו צריכה להיות סיבה מספיק טובה לפקח על הנתונים שלך ולבדוק אותם על בסיס קבוע.

אל תפסיק כאן. עבור למשאבים הרשמיים שהשתמשנו במדריך זה ולמד אודות פרטיות.

בסופו של דבר ישנן רמות תאימות, ועליכם להחליט מי מהם מתאים לכם על סמך הרבה יותר גורמים מאלו המפורטים כאן. עם זאת, זוהי התחלה נהדרת לגרום לך ללכת בכיוון הנכון ולקראת עמידה ב- GDPR. כמובן שעסק, כולנו צריכים לשמור על עצמנו תחרותיים בשוק כך שיהיו כמה פיצויים.

איך אתה מתכונן לעמידה ב- GDPR? שתף את השיטות המומלצות שלך בתגובות!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map