Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

10 modalități prin care să vă pregătiți compania pentru GDPR

2017-04-21

Regulamentul General privind Protecția Datelor (GDPR), ce va fi introdus începând cu 25 mai 2018, este gândit să aibă un impact asupra tuturor statelor membre ale Uniunii Europene, precum și asupra națiunilor care manipulează datele cetățenilor UE.

Totuși cu doar un an rămas până la implementarea regulamentului, o cercetare realizată de DMA sugerează că peste un sfert (26%) dintre manageri simt că afacerea lor nu este pregătit pentru GDPR.

Deci, ce pot face companiile pentru a se asigura că respectă prevederile? Mai jos sunt prezentați 10 pași simpli pe care companiile îi pot lua în considerare.

  1. Realizați un plan pentru GDPR

Într-un articol realizat anul trecut, Steve Wood, Head of strategy and intelligence la Information Commissioner’s Office (ICO), a alungat temerile privind Brexit, afirmând că „odată pus în aplicare în UE, GDPR va fi relevant pentru multe organizații din Marea Britanie“ .

Aceasta înseamnă că, în timp ce Marea Britanie se pregătește de ieșirea din UE, multe dintre companiile și organizațiile sale vor fi în continuare supuse regulilor GDPR (și, în final, companiile din Marea Britanie vor manipula în continuare date ale utilizatorilor din UE).

  1. Creșteți conștientizarea

Este important să vă asigurați că toți factorii de decizie din cadrul organizației dumneavoastră sunt conștienți de implicațiile GDPR și ce înseamnă pentru operațiunile lor de zi cu zi.

Potrivit unui sondaj realizat de Gigamon în 2017, doar 41% dintre profesioniștii IT au afirmat că sunt „pe deplin conștienți“ de implicațiile GDPR, în timp ce 9% au declarat că nu cunosc deloc detaliile.

Aceste cifre sugerează că mai există lucruri de pus la punct pentru a fi siguri că toate organizațiile sunt la curent cu noile prevederi.

  1. Stabiliți modul în care organizația dumneavoastră gestionează datele

În conformitate cu directiva actuală de protecție a datelor din UE, numai operatorii de date sunt de vizați atunci când vine vorba de respectarea protecției datelor.

Dar, după cum explică ICO, GDPR prevede obligații statutare directe și procesatorilor de date.

Prin urmare, este important să se stabilească dacă organizația dvs. este un procesor de date sau un operator de date, dar țineți cont de faptul că ar putea fi plasat în ambele situații.

Auditul metodelor actuale reprezintă una dintre cele mai bune moduri în care vă puteți pregăti pentru GDPR, ceea ce înseamnă că o înțelegere aprofundată a modului în care organizația dumneavoastră se ocupă de date este extrem de importantă.

  1. Examinați fiecare aspect al gestionării datelor colectate în cadrul companiei dumneavoastră

Este important să se stabilească locul în care sunt stocate datele personale colectate, înainte de a fi evaluate aspecte precum securitatea locației respective, cine este responsabil pentru controlul datele și dacă această responsabilitate este împărțită mai multor persoane.

Implicarea departamentului IT în acest proces este crucială și vă va oferi o idee mai bună a capacităților actuale ale organizației dumneavoastră.

  1. Examinați breșele de date anterioare

Examinarea oricărei încălcări a securității datelor petrecută anterioar în cadrul sistemului dvs. vă va oferi o idee mai detaliată a capacităților de reacție a organizației dumneavoastră la atacurile viitoare și vă oferă o imagine mai clară dacă aceste proceduri sunt capabile să îndeplinească cerințele viitoare.

Una dintre măsurile care urmează să fie introduse în cadrul GDPR vizează faptul că încălcările de date trebuie să fie raportate în termen de 72 de ore de la descoperire, împreună cu informațiile care detaliază natura și gravitatea atacului.

Fiind aplicate amenzi semnificative pentru orice organizație care nu respectă prevederile, există o motivare mare pentru ca organizațiile să-și pună în ordine datele și procedurile interne.

  1. Numiți un responsabil de protecție a datelor (RPD)

Potrivit IAPP, un rol de RDP va fi esențial pentru autoritățile publice sau pentru alte organizații implicate în activități de monitorizare în mod regulat a persoanele vizate la scară largă.

RPD-ul va acționa în mod independent și va raporta la cel mai înalt nivel de conducere din cadrul organizației.

Responsabilitatea principală este de a înțelege pe deplin prevederile GDPR și de a pune în aplicare cerințele necesare pentru a obține conformitatea.

  1. Țineți cont de drepturile reglementate ale persoanelor

Unul dintre aspectele cheie din GDPR vizează consolidarea drepturilor pentru persoanele fizice, inclusiv dreptul de a fi uitat și portabilitatea datelor, ceea ce înseamnă că ar putea fi necesar să furnizați datele către o persoană care mai apoi pot fi transferate la o companie concurentă.

Companiile sunt obligate să susțină aceste drepturi, deci este important să vă asigurați că există proceduri implementate pentru a face acest lucru posibil.

  1. Aflați mai multe despre consimțământ

GDPR își propune să ofere mai multe informații atunci când vine vorba de problema consimțământului. Noile măsuri vor solicita companiilor să obțină o declarație explicită sau „o acțiune afirmativă clară“ atunci când vine vorba de prelucrare a datelor.

Companiile vor fi supuse unor noi măsuri care limitează capacitatea copiilor de a-și da acordul pentru prelucrarea datelor fără permisiunea părinților.

Prin urmare, merită să examinați dacă aceste practici sunt deja în vigoare atunci când va fi nevoie să informați utilizatorii privind modul în care urmează să fie utilizate și prelucrate informațiile lor.

  1. Identificați autoritatea de supraveghere

Multe dintre organizațiile afectate de GDPR vor funcționa la nivel internațional și pot fi obiectul altor directive care depășesc GDPR.

Poate fi dificil de gestionat care autoritatea de supraveghere a protecției datelor preia conducerea atunci când o plângere este investigată, dar conform articolului 56 din GDPR, prioritatea este determinată de localizarea administrației principale a companiei în UE.

Poate fi dificil de gestionat pentru companiile care operează în diverse locații, așa că dacă există orice incertitudine, este bine să se stabilească unde se iau deciziile importante în ceea ce privește prelucrarea datelor, deoarece în acel loc este probabil să fie autoritatea de supraveghere.

1o. Alocați mai multe resurse

Toate aceste considerații pot plasa o mare presiune asupra infrastructurii unei companii, prin urmare, este esențial ca organizațiile să aloce resurse suplimentare pentru a îndeplini aceste cerințe.

Un raport recent avertizează că, fără planuri de viitor, companiile ar putea fi „lăsate cu noi cerințe de pus în aplicare, fără a fi alocat resursele adecvate necesare pentru îndeplinirea conformității“.

Alocarea resurselor de la începutul procesului, reprezintă o modalitate de a vă ușura munca mai târziu.



Leave a Reply

Your email address will not be published. Required fields are marked *