GDPR-ul ofera protectie nemaintalnita in randul cetatenilor Uniunii Europene in contextul stocarii, transferului si procesarii datelor cu caracter personal. Aplicarea regulamentului GDPR este obligatorie in situatia in care o companie poate detine informatii ale unor cetateni europeni, fie clienti sau utilizatori. Acum este momentul ca fiecare companie sa actioneze in consecinta iar alinierea la normele GDPR sa devina o prioritate in randul activitatilor zilnice.
Ce reprezinta gdpr-UL PENTRU AFACEREA TA
Regulamentul GDPR ofera protectie fara precedent cetatenilor Uniunii Europene. Orice abatere de la acest regulament atrage amenzi uriase insemnand pana la 4 procente din cifra de afaceri sau 20 de milioane de euro.
Iata 5 pasi care vin in ajutorul companiilor in implementarea GDPR-ului.
Pas 1. Audit, audit, audit
Nucleul regulamentului GDPR e constituit de o categorie primara de date, mai exact datele cu caracter personale ale cetatenilor europeni. Pornind de la aceasta, primul pas consta in efectuarea unui audit intern prin asignarea unui manager dedicat chestiunilor de GDPR pentru fiecare departament din organizatie. Scopul acestui personal cheie consta in efectuarea unor intrebari detaliate referitoare la tipurile de informatii detinute in cadrul acelui departament.
Porniti de la intrebari generice despre datele stocate in cadrul companiei. Apoi, efectuati un audit mai detaliat – datele stocate apartin unor cetateni europeni? In ce format se regasesc aceste date, ce persoane au acces la acestea si unde sunt stocate? Date sunt impartasite sau procesate de catre procese sau parteneri externi, daca da, respecta acestia regulamentul GDPR? Absolut orice proces care are ca instrument prelucrare de date ale cetatenilor europeni trebuie pus sub microscop.
Erori comune de evitat in aceasta etapa:
- Omiterea inventarierii tuturor datelor, inclunzand cele ale partenerilor sau furnizorilor.
- Lipsa unui personal dedicat in cadrul organizatiei responsabil de aplicarea normativelor europene.
Pas 2. Planificare
Odata incheiat auditul intern si identificate bazele de date si sistemele care vor fi “afectate” de GDPR, puteti trece la urmatorul pas, planificarea pentru alinierea la GDPR. In aceasta etapa este necesara asignarea unui responsabil pentru fiecare divizie a companiei. Acesta va crea un plan de conformare la regulamentul GDPR. In aceasta etapa, fiecare manager va identifica procesele, furnizorii de servicii care proceseaza orice tip de date, sa creeze pasi pentru obtinerea consimtamantului utilizatorilor si procese pentru a adera la cerintele GDPR. Aceste cerinte includ, dreptul de accesa, dreptul de a sterge si dreptul de portabilitate a datelor. Practic fiecare cetatean european ai carui date personale sunt salvate in cadrul companiei dumneavoastra va avea dreptul de a cere accesul la aceste date, sterge sau mutarea acestora in alte baze de date. Aditional, va trebui creat un proces de urmat in cazul incalcarii legii. Instiintarile privind incalcarea drepturilor GDPR sunt extrem de stricte si orice intarziere de notificare poate atrage amenzi grave.
Greseli comune de evitat in acest pas:
- Prezumtia ca fiecare furnizor este aliniat la GDPR.
- Prezumtia ca GDPR-ul nu este un proces repetitiv fara planificari ulterioare. GDPR-ul presupune un efort constant, orice angajat nou, proces sau sistem nou va trebui aliniat la cerintele GDPR.
Pas 3. Implementare
Avand un plan de actiune este randul procesului de implementare sa isi faca simtita prezenta. In primul rand este nevoie de crearea unor proceduri aprobate de utilizatori in achizitia si procesarea datelor acestora. Apoi, asigurati-va ca detineti procedurile corecte necesare in investigarea, raportarea si detectarea oricarei brese in randul datelor personale. Documentati fiecare proces care interactioneaza cu date personale si persoana responsabila pentru fiecare proces in parte.
Identificati procesele necesare in mentinerea in actualitate a sistemelor si a proceselor si implementati verificari periodice. Este posibil sa fie nevoie de un sistem pentru monitorizarea problemelor de natura GDPR in anii ce vor urma. Noi metode pot fi introduse, iar procesele vor trebui aliniate la acestea. In cele din urma, in cadrul implementarii, pregatiti-va personalul la tot ceea ce inseamna satisfacerea cerintelor GDPR si modul in care compania dumneavoastra implementeaza procesele respective.
Erori comune:
- Procesele noi nu sunt documentate corespunzator in vederea conformarii la GDPR.
Pas 4. Training
Daca exista doar o singura persoana in cadrul fiecarui departament desemnata in chestiuni referitoare la GDPR, cel mai probabil vor aparea complicatii. In consecinta fiecare angajat trebuie scolarizat GDPR si implicatiile acestuia. Adesea acesti angajati vor fi in contact direct atat cu utilizatori finali cat si cu date personale, de aceea este important ca acestia sa fie la curent cu procedurile de urmat in cazul unor solicitari GDPR din partea unor utilizatori/clienti. Orice proces care se ocupa de cereri ale utilizatorilor – stergere, portabilitate-trebuie comunicat fiecarui angajat in parte.
Aditional, cerintele din jurul breselor si a notificarilor acestora au ridicat nivele fara precedent si angajatii trebuie sa fie la curent cu masurile de efectuat in cazul unei brese. Cu siguranta vor fi ferestre limitate pentru conformitate in cazul notificarilor breselor, de aceea angajatii trebuie sa cunoasca cu exactitate modul de raportare a oricarei brese si canalul de comunicare.
Erori comune:
- Dat fiind un interval de timp redus, etapele complexe si procesele nu pot fi instilate. Trebuie sa va concentrati pe un traning simplu de baza efectuat de angajati si parteneri.
Pas 5. Testare si un nou audit
Cu cateva zile inainte de intrare in vigoare a noului regulament, va trebui sa testati sistemele din cadrul organizatiei. Exista situatii in care se pot identifica anumite anomalii in sistem care pot fi remediate inainte de data intrarii in vigoare.
Simulati cereri de tipul “drepturi de acces” si “drepturi de a uita” in cadrul sistemelor. In acest pas se identifica anumite probleme, efectua teste si imbunatati sistemul.
Erori des intalnite:
- Neefectuarea unor teste care sa acopere toate tipurile de cereri care implica date cu caracter personal.
Nu uitati pana la 25 mai, absolut toate companiile care lucreaza cu date cu caracter personal ale cetatenilor Uniunii Europene sunt obligate sa se conformeze prevederilor GDPR.
Sursa: www.securityinfowatch.com
