GDPR: 10 lucruri pe care ar trebui să le faceți

Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit să vă prezentăm zece acțiuni-cheie pe care firma dvs. ar trebui să le întreprindă pentru a demonstra în mod activ conformitatea cu GDPR.

maxresdefault

1. Testați-vă planul de răspuns la breșele de securitate a datelor 

Până acum, ar trebui să aveți un plan de răspuns la încălcările de securitate a datelor. Următorul lucru cheie trebuie făcut: testați planul și asigurați-vă că funcționează. Dacă planul dvs. se baza pe persoane sau roluri specifice, s-ar putea să descoperiți că, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experiența ne-a arătat că planurile nerevizuite regulat se pot prăbuși, ajungând din nou la nivel de schiță, mai ales atunci când toată lumea încearcă să evite responsabilitatea pentru datele pierdute. Veți obține doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel puțin fiecare șase luni. Un lucru pe care oamenii  îl pot trece cu vederea este să se asigure că sunt conștienți de obligația de notificare a  Autorității de supraveghere (ANSPDCP) care trebuie să fie notificată în cazul unei încălcări.

De asemenea, trebuie să acordați prioritate persoanelor fizice ale căror date au fost afectate de breșa de securitate. Nu fiți tentați să vă concentrați atât de mult asupra propriei dvs. conformități interne și asupra posibilelor sancțiuni ale autorităților, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori să audă că faceți tot ce puteți pentru a ajuta persoanele vizate de date afectate. Țineți cont de faptul că am putea vorbi despre angajați, clienți sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie să vă asigurați că:

  • acestea beneficiază de suportul dumnevoastră;
  • simt că nu ați profitat de ei sau de datele lor personale;
  • furnizați suficiente informații pe baza cărora persoanele vizate pot acționa ulterior,  în cazul în care acestea vor dori acest lucru.

Trebuie să aveți grijă de persoanele afectate în modul în care ați avea grijă de un client dezamăgit. O ridicare colectivă din umeri nu va arăta bine atunci când ANSPDCP vă va întreba ce ați făcut pentru a remedierea situației persoanelor vizate afectate.

2. Examinați comunicările interne și externe

Folosiți cele mai sigure platforme? Aveți metodele corecte de securitate în funcțiune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui să fi fost actualizat până acum. Dacă utilizați aplicații precum Gmail sau Dropbox, disponibile în mod gratuit, vă recomandăm să luați măsuri alternative.

De asemenea, ar fi trebuit să opriți până acum utilizarea de sisteme de comunicații cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.

Asigurați-vă că ați implementat măsuri care să demonstreze conformitatea dvs. cu  Regulamentul în fața autorităților, dacă totuși se întâmplă un incident de securitate.

3. Reanalizați obligația de desemnare a unui ofițer de protecție a datelor (DPO)

S-ar putea să fi decis anterior că nu aveți nevoie de un DPO, dar aceasta este o decizie pe care organizația dumneavoastră ar trebui să o revadă în mod regulat. Noi recomandăm câte o reanalizare a situației la un interval de aproximativ șase luni.

Vor trebui verificate:

  • circumstanțele actuale ale firmei dvs.
  • prevderile legale actuale
  • planul de dezvoltare a afacerii
  • tipurile de activități pe care le desfășurați
  • sensibilitatea și volumul datelor personale pe care le manipulați

Dacă observați modificări ale elementelor de mai sus, atunci un DPO ar trebui să fie de ajutor. Dacă aveți deja un DPO existent, acesta ar trebui să se concentreze pe înțelegerea rolul său și pe eficientizarea activității în companie. De asemenea, nu trebuie să uitați despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.

4. Efectuați evaluări frecvente ale impactului asupra vieții private

Întreprinderile ar trebui să realizeze un astfel de audit pentru orice nou proiect major care implică prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:

  • implementați noi sisteme IT
  • realizați site-uri noi
  • introduceți sisteme noi de management al datelor
  • schimbați locația birourilor
  • permiteți personalului să lucreze de acasă / la distanță

Nu este cazul să vă simțiți descurajați gândindu-vă că o astfel de evaluare va fi costisitoare sau hiper-detaliată; ea trebuie doar să:

1. să identifice riscurile pentru datele personale asociate proiectului

2. să precizeze ce măsuri ar trebui să fie luate pentru a reduce aceste riscuri

3. să detaliați cum veți reduce riscurile

Efectuarea periodică a unei astfel de evaluări va contribui la asigurarea transferului responsabilităților, mai ales în cazul în care personalul implicat poate părăsi compania.

5. Aplicați politici de păstrare și prelucrare a datelor

Întreprinderile ar trebui să revizuiască în mod regulat arhivele, bazele de date și mesajele de poștă electronică. Asigurați-vă că datele cu caracter personal nu sunt ținute mai mult timp decât ați declarat inițial. Există motive întemeiate pentru care unele date sunt păstrate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei încălcări care implică prelucrări de date cu caracter personal de-a lungul unei perioade de zece ani, dacă politica de păstrare a datelor a firmei afirmă că aceste date vor fi șterse după șapte ani, ați putea fi sancționat de ANSPDCP. Asigurați-vă că politica dvs. este corectă și aplicată uniform.

6. Documentați-vă riscurile

Asigurați-vă că documentele dumneavoastră interne reflectă toate riscurile asociate cu GDPR și protecția datelor. Acestea ar trebui să fie revizuite în mod regulat și actualizate ca parte a monitorizării permanente a conformității companiei cu GDPR. Din nou, este recomandat ca și această revizuire să aibă loc la fiecare sase luni, pentru a vă asigura că respectați în continuare legile privind protecția datelor și luați în considerare orice noi orientări ale ANSPDCP.

7. Efectuați teste regulate de penetrare a sistemelor informatice

Ar trebui să vă asigurați că sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastră de comunicații electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distanță. Dacă apar probleme, acționați imediat și reduceți la minimum riscurile identificate.

8. Examinați practicile de lucru la distanță

Asigurați-vă că firma dvs. respectă cele mai bune practici în ceea ce privește munca de la distanță. De exemplu, personalul ar trebui să știe să nu folosească Wi-Fi public gratuit, nici să lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fișier sensibil poate fi observat de către persoana de lângă).

9. Instruiți-vă personalul

Firma dvs. ar trebui să aibă un program de formare bine pus la punct, care ar trebui să fie revizuit în mod regulat și prezentat tuturor angajaților noi ca parte a instructajului lor inițial. În cadrul acestor activități această formare, ar trebui să oferiți personalului o mulțime de exemple pentru a le ajuta să se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezintă o firmă sau o instituție publică. Rețineți că astfel de atacuri nu se mai limitează la e-mailuri, ci pot avea loc și prin social media, mesaj text sau alte forme de mass-media. Este notorie înșelătoria prin mesaje false care încearcă să-i facă pe oameni să acceseze un link pentru a asculta aparent un mesagerie vocală, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.

10. Fiți la curent cu cele mai recente prevederi legale și recomandări

În afară de respectarea constantă a regulilor privind prelucrarea datelor, ar trebui să aveți o analiză periodică a activității dumneavoastră pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui să monitorizeze, printre altele, și actualizările din partea Comitetului european pentru protecția datelor sau din partea ANSPDCP. De asemenea, trebuie să fiți la curent și cu știrile în legătură cu GDPR provenite din activitățile de control ale ANSPDCP.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

%d blogeri au apreciat: