GDPR: 10 lucruri pe care ar trebui s? le face?i
Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit s? v? prezent?m zece ac?iuni-cheie pe care firma dvs. ar trebui s? le întreprind? pentru a demonstra în mod activ conformitatea cu GDPR.
1. Testa?i-v? planul de r?spuns la bre?ele de securitate a datelor
Pân? acum, ar trebui s? ave?i un plan de r?spuns la înc?lc?rile de securitate a datelor. Urm?torul lucru cheie trebuie f?cut: testa?i planul ?i asigura?i-v? c? func?ioneaz?. Dac? planul dvs. se baza pe persoane sau roluri specifice, s-ar putea s? descoperi?i c?, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experien?a ne-a ar?tat c? planurile nerevizuite regulat se pot pr?bu?i, ajungând din nou la nivel de schi??, mai ales atunci când toat? lumea încearc? s? evite responsabilitatea pentru datele pierdute. Ve?i ob?ine doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel pu?in fiecare ?ase luni. Un lucru pe care oamenii îl pot trece cu vederea este s? se asigure c? sunt con?tien?i de obliga?ia de notificare a Autorit??ii de supraveghere (ANSPDCP) care trebuie s? fie notificat? în cazul unei înc?lc?ri.
De asemenea, trebuie s? acorda?i prioritate persoanelor fizice ale c?ror date au fost afectate de bre?a de securitate. Nu fi?i tenta?i s? v? concentra?i atât de mult asupra propriei dvs. conformit??i interne ?i asupra posibilelor sanc?iuni ale autorit??ilor, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori s? aud? c? face?i tot ce pute?i pentru a ajuta persoanele vizate de date afectate. ?ine?i cont de faptul c? am putea vorbi despre angaja?i, clien?i sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie s? v? asigura?i c?:
- acestea beneficiaz? de suportul dumnevoastr?;
- simt c? nu a?i profitat de ei sau de datele lor personale;
- furniza?i suficiente informa?ii pe baza c?rora persoanele vizate pot ac?iona ulterior, în cazul în care acestea vor dori acest lucru.
Trebuie s? ave?i grij? de persoanele afectate în modul în care a?i avea grij? de un client dezam?git. O ridicare colectiv? din umeri nu va ar?ta bine atunci când ANSPDCP v? va întreba ce a?i f?cut pentru a remedierea situa?iei persoanelor vizate afectate.
2. Examina?i comunic?rile interne ?i externe
Folosi?i cele mai sigure platforme? Ave?i metodele corecte de securitate în func?iune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui s? fi fost actualizat pân? acum. Dac? utiliza?i aplica?ii precum Gmail sau Dropbox, disponibile în mod gratuit, v? recomand?m s? lua?i m?suri alternative.
De asemenea, ar fi trebuit s? opri?i pân? acum utilizarea de sisteme de comunica?ii cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.
Asigura?i-v? c? a?i implementat m?suri care s? demonstreze conformitatea dvs. cu Regulamentul în fa?a autorit??ilor, dac? totu?i se întâmpl? un incident de securitate.
3. Reanaliza?i obliga?ia de desemnare a unui ofi?er de protec?ie a datelor (DPO)
S-ar putea s? fi decis anterior c? nu ave?i nevoie de un DPO, dar aceasta este o decizie pe care organiza?ia dumneavoastr? ar trebui s? o revad? în mod regulat. Noi recomand?m câte o reanalizare a situa?iei la un interval de aproximativ ?ase luni.
Vor trebui verificate:
- circumstan?ele actuale ale firmei dvs.
- prevderile legale actuale
- planul de dezvoltare a afacerii
- tipurile de activit??i pe care le desf??ura?i
- sensibilitatea ?i volumul datelor personale pe care le manipula?i
Dac? observa?i modific?ri ale elementelor de mai sus, atunci un DPO ar trebui s? fie de ajutor. Dac? ave?i deja un DPO existent, acesta ar trebui s? se concentreze pe în?elegerea rolul s?u ?i pe eficientizarea activit??ii în companie. De asemenea, nu trebuie s? uita?i despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.
4. Efectua?i evalu?ri frecvente ale impactului asupra vie?ii private
Întreprinderile ar trebui s? realizeze un astfel de audit pentru orice nou proiect major care implic? prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:
- implementa?i noi sisteme IT
- realiza?i site-uri noi
- introduce?i sisteme noi de management al datelor
- schimba?i loca?ia birourilor
- permite?i personalului s? lucreze de acas? / la distan??
Nu este cazul s? v? sim?i?i descuraja?i gândindu-v? c? o astfel de evaluare va fi costisitoare sau hiper-detaliat?; ea trebuie doar s?:
1. s? identifice riscurile pentru datele personale asociate proiectului
2. s? precizeze ce m?suri ar trebui s? fie luate pentru a reduce aceste riscuri
3. s? detalia?i cum ve?i reduce riscurile
Efectuarea periodic? a unei astfel de evalu?ri va contribui la asigurarea transferului responsabilit??ilor, mai ales în cazul în care personalul implicat poate p?r?si compania.
5. Aplica?i politici de p?strare ?i prelucrare a datelor
Întreprinderile ar trebui s? revizuiasc? în mod regulat arhivele, bazele de date ?i mesajele de po?t? electronic?. Asigura?i-v? c? datele cu caracter personal nu sunt ?inute mai mult timp decât a?i declarat ini?ial. Exist? motive întemeiate pentru care unele date sunt p?strate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei înc?lc?ri care implic? prelucr?ri de date cu caracter personal de-a lungul unei perioade de zece ani, dac? politica de p?strare a datelor a firmei afirm? c? aceste date vor fi ?terse dup? ?apte ani, a?i putea fi sanc?ionat de ANSPDCP. Asigura?i-v? c? politica dvs. este corect? ?i aplicat? uniform.
6. Documenta?i-v? riscurile
Asigura?i-v? c? documentele dumneavoastr? interne reflect? toate riscurile asociate cu GDPR ?i protec?ia datelor. Acestea ar trebui s? fie revizuite în mod regulat ?i actualizate ca parte a monitoriz?rii permanente a conformit??ii companiei cu GDPR. Din nou, este recomandat ca ?i aceast? revizuire s? aib? loc la fiecare sase luni, pentru a v? asigura c? respecta?i în continuare legile privind protec?ia datelor ?i lua?i în considerare orice noi orient?ri ale ANSPDCP.
7. Efectua?i teste regulate de penetrare a sistemelor informatice
Ar trebui s? v? asigura?i c? sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastr? de comunica?ii electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distan??. Dac? apar probleme, ac?iona?i imediat ?i reduce?i la minimum riscurile identificate.
8. Examina?i practicile de lucru la distan??
Asigura?i-v? c? firma dvs. respect? cele mai bune practici în ceea ce prive?te munca de la distan??. De exemplu, personalul ar trebui s? ?tie s? nu foloseasc? Wi-Fi public gratuit, nici s? lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fi?ier sensibil poate fi observat de c?tre persoana de lâng?).
9. Instrui?i-v? personalul
Firma dvs. ar trebui s? aib? un program de formare bine pus la punct, care ar trebui s? fie revizuit în mod regulat ?i prezentat tuturor angaja?ilor noi ca parte a instructajului lor ini?ial. În cadrul acestor activit??i aceast? formare, ar trebui s? oferi?i personalului o mul?ime de exemple pentru a le ajuta s? se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezint? o firm? sau o institu?ie public?. Re?ine?i c? astfel de atacuri nu se mai limiteaz? la e-mailuri, ci pot avea loc ?i prin social media, mesaj text sau alte forme de mass-media. Este notorie în?el?toria prin mesaje false care încearc? s?-i fac? pe oameni s? acceseze un link pentru a asculta aparent un mesagerie vocal?, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.
10. Fi?i la curent cu cele mai recente prevederi legale ?i recomand?ri
În afar? de respectarea constant? a regulilor privind prelucrarea datelor, ar trebui s? ave?i o analiz? periodic? a activit??ii dumneavoastr? pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui s? monitorizeze, printre altele, ?i actualiz?rile din partea Comitetului european pentru protec?ia datelor sau din partea ANSPDCP. De asemenea, trebuie s? fi?i la curent ?i cu ?tirile în leg?tur? cu GDPR provenite din activit??ile de control ale ANSPDCP.