20 апреля 2018

10 шагов подготовки к GDPR

Уже совсем скоро, 25 мая 2018 года, после двухлетнего переходного периода в странах Евросоюза окончательно вступает в силу Общий регламент по защите данных (GDPR). Соответствовать ему должны не только те компании, которые расположены в ЕС, но и те, которые, располагаясь где угодно, собирают, обрабатывают и хранят личные данные граждан ЕС. Это затрагивает многие организации, работающие на аутсорс по всему миру, и Noveo — не исключение. Готовиться к изменениям мы начали заранее и уже публиковали материал о том, как обеcпечить безболезненный переход на новые рельсы. С приближением переходного дня вопрос подготовки становится все более актуальным. Ниже — наш перевод пошаговых рекомендаций от создателей платформы FileFacets.

Как вы понимаете, что готовы? По-настоящему готовы?

Нет, этот вопрос человек задает себе не только раз в жизни, глядя на своего будущего супруга (или будущую супругу), идущего(щую) к алтарю. Он возникает во все переломные моменты жизни, на любом важном этапе, будь то окончание школы, рождение вашего первенца, запуск нового бизнеса.

Вы можете добавить к своему списку еще один важный профессиональный момент: 25 мая 2018 года Общий регламент по защите данных (General Data Protection Regulation, GDPR) вступает в силу в Евросоюзе.

ОК, может, это не настолько важно, как ваша свадьба. Но если вы задействованы в сборе, хранении или анализе данных, идентифицирующих личность (personally identifiable information, PII) любого гражданина Евросоюза, вы захотите быть готовыми к этому моменту.

Следуйте этому чек-листу, чтобы помочь себе подготовить вашу организацию к первой полноценной попытке ввести стандарты защиты персональных данных для экономик разных стран.

Шаг 1: Подготовка персонала

Определите и наймите в штат квалифицированных специалистов, ответственных за понимание того, как влияет GDPR на ваш бизнес и какие изменения за собой влечет (или отдайте это на аутсорс). Вы должны знать штрафные меры, применяемые за несоблюдение регламента, и объяснить руководящему составу важность GDPR.

Назначьте кого-то ответственным за обеспечение безопасности данных. Специальный сотрудник, ответственный за организацию обработки персональных данных (Data Protection Officer, DPO), может потребоваться, например, следующим организациям:

  • органы государственной власти (за исключением судов, действующих в рамках своей судейской дееспособности),
  • организации, осуществляющие регулярный и систематический мониторинг большого количества людей,
  • организации, осуществляющие широкомасштабную обработку данных специальных категорий, таких как записи о состоянии здоровья или сведения о судимостях.

Шаг 2: Систематизация данных

Найдите и составьте опись всех персональных данных, хранимых в настоящий момент. Определите их цель, источник, распределение и значимость (почему вы их храните?). На эти вопросы нужно ответить для всех данных, имеющих отношение к PII.

Шаг 3: Обновление уведомлений о порядке использования личной информации

Отредактируйте и обновите действующие у вас на настоящий момент уведомления о порядке использования личной информации так, чтобы они отражали изменения, связанные с GDPR. Эти уведомления должны объяснять, как вы намереваетесь использовать информацию, законное основание для их обработки, а также как долго вы собираетесь хранить их. Уведомления о порядке использования личной информации должны быть сформулированы понятно и кратко —  без юридической тарабарщины.

Шаг 4: Понимание прав личности

Самое время также проверить ваши процессы и понять, в какой мере ваши системы поддерживают права личности. Согласно GDPR, каждый человек имеет расширенные защитные права, включая:

Шаг 5: Пересмотрите запросы доступа

Убедитесь, что ваши процессы смогут обработать запросы в течение нового установленного срока в 30 дней. Если вы обрабатываете существенный объем запросов, подумайте, сколько может стоить увеличение скорости ответа на них.

Шаг 6: Задокументируйте вашу правовую базу

Согласно GDPR, права некоторых категорий граждан будут модифицированы в соответствии с тем, какое законное основание у вас есть для обработки их данных. Вам следует задокументировать вашу правовую базу, чтобы помочь себе соответствовать требованиям GDPR к ответственности.

Шаг 7: И это все о согласии

Вам нужно прочитать подробное руководство, которое ICO (Information Commissioner’s Office, Управление комиссара по информации Великобритании) опубликовало о согласии на обработку своих личных данных в рамках GDPR, и воспользоваться чек-листом для согласия, чтобы проверить свои практики. Проанализируйте, как вы просите, записываете и храните согласия, и обновите методы, чтобы соответствовать изменениям, которые влечет за собой GDPR. GDPR требует особых мер защиты детских персональных данных, особенно в том, что касается коммерческих интернет-сервисов, включая социальные сети. Согласно GDPR, дети до 16 лет имеют права не давать согласия без подтверждения со стороны лиц, несущих родительскую ответственность.

Шаг 8: Расскажите о своей уязвимости

Подготовьте план для эффективного обнаружения, сообщения и анализа любых уязвимостей данных. Крупным организациям потребуются методы и процедуры для управления уязвимостями данных. Неспособность сообщить об этих уязвимостях может обернуться штрафом (вдобавок к штрафу за собственно уязвимость).

Шаг 9: Защита на этапе проектирования

Проведите оценку воздействия на неприкосновенность частной жизни (Privacy Impact Assessment, PIA), чтобы ввести методы проектирования, ориентированные на автоматическое включение защиты конфиденциальности данных в ваши процессы. GDPR открыто предписывает “защиту данных проектированием” и делает PIA обязательными при определенных обстоятельствах.

Шаг 10: Международные последствия

Если ваша организация действует более чем в одном государстве-члене ЕС, определите и задокументируйте расположение вашего основного органа контроля за защитой данных. Важно только, где вы осуществляете обработку международных данных (т.е. у вас несколько организаций в нескольких государствах-членах ЕС, или у вас одно учреждение в ЕС, которое осуществляет обработку данных, существенно затрагивающую граждан других стран ЕС).

Эти, казалось бы, нехитрые рекомендации помогут вам плавно адаптироваться к требованиям GDPR, не испытывая трудностей. Конфиденциальность личной информации — один из ключевых моментов современного цифрового мира. Внести свой вклад в безопасность данных очень легко!

GDPR compliance Noveo

Оригинал: https://www.filefacets.com/blog/10-steps-to-gdpr-compliance/

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читайте в нашем блоге

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: