GDPR (Общ регламент за защита на данните) е закон на ЕС за защита на данните, който влезе в сила на 25 май 2018 г. Регламентът заменя Директивата на ЕС за защита на данните от 1995 г.
Много неща се промениха оттогава, да не говорим за COVID-19, растежа на дистанционната/хибридна работа, много парламентарни избори и рецесия.
Съответствието с GDPR включва прилагане на процеси и процедури за защита на личните данни на гражданите на ЕС, като например гарантиране, че данните се събират и съхраняват сигурно, информиране на лицата за това как се използват техните данни и право на лицата да достъпват, променят или изтриват своите данни.
Подбрахме най-важните стъпки за да постигнете и поддържате съответствие с GDPR.
1. Управление
Съответствието с GDPR изисква подкрепа от ръководството. Това означава, че най-високото ниво в организацията трябва да разбере последиците от регламента, за да разпредели ресурсите, необходими за постигане и поддържане на съответствие.
Ръководството трябва също така да назначи някой, който да отговаря за съответствието в рамките на организацията.
2. Обхват и планиране
След като ръководството оцени рисковете за защита на данните, трябва да се определи кои области от организацията попадат в обхвата на Регламента.
Какво трябва да направите:
- Назначаване и обучение на ръководител на проекта.
- Назначете DPO (служител по защита на данните), ако е необходимо. Ако не сте сигурни дали и как да назначите DPO, посетете нашата страница с информация за DPO. Има ли нужда моят бизнес от DPO? – CyPro Bulgaria Ltd.
- Идентифицирайте стандарти, които биха могли да осигурят рамка, която да ви помогне да установите вашите приоритети за съответствие:
- Международният стандарт за информационна сигурност ISO 27001 може да ви помогне да приложите най-добрите практики за сигурност на данните. Това ще ви помогне да изпълните изискванията за подходящи технически и организационни мерки за сигурност (член 32, GDPR).
- Други стандарти са разработени, за да позволят спазването на основните закони за поверителност. Те включват ISO 27701 международният стандарт за управление на информацията за поверителност и BS 10012 стандартът за система за управление на лична информация.
- Оценете дали защитата на данните по проект и по подразбиране е включена в процеси и системи.
3. Одит на потока от данни
За да спазите изискванията на GDPR за обработка на данни, трябва да разберете напълно какви данни обработва вашата организация, какви са целите и начинът на обработване.
Какво трябва да направите:
- Оценете категориите данни, които притежавате, откъде идват и законното основание за тяхната обработка.
- Създайте карта, която показва как данните протичат към, през и от вашата организация.
- Използвайте картата на данните, за да идентифицирате рисковете във вашите дейности по обработка на данни и да определите дали е необходима DPIA (оценка на въздействието върху защитата на данните).
- Създайте записи/регистър на дейностите по обработка на лични данни, както се изисква от член 30, извлечени от одита на потока от данни и анализа на пропуските.
4. Оценка на риска
Оценките на риска играят решаваща роля във всеки план за съответствие. GDPR насърчава основан на риска подход към обработката на данни. Това позволява на организациите да разработят подходящи мерки за управление на своите рискове. Регламентът обаче не изяснява как трябва да оценявате и количествено определяте тези рискове.
Какво трябва да направите:
- Създайте план за оценка на риска.
- Идентифицирайте рисковете.
- Анализирайте и оценете рисковете.
- Определете начини да контролирате рисковете във вашата организация
5. ГАП анализ
Провеждането на анализ на пропуските ще ви помогне да идентифицирате всички области, които трябва да бъдат адресирани, за да сте сигурни, че отговаряте напълно на изискванията на GDPR.
Какво трябва да направите:
- Проверете текущата си позиция за съответствие спрямо изискванията на GDPR.
- Определете кои пропуски в съответствието изискват коригиране.
6. Разработете оперативни политики, процедури и процеси
Трябва да приведете съществуващите си политики, процеси и процедури в съответствие с изискванията на GDPR и да разработите нови, за да изпълните законовите си задължения.
Какво трябва да направите:
- Уверете се, че вашите политики за защита на данните и известията за поверителност са в съответствие с GDPR.
- Когато разчитате на съгласие като ваше законно основание за обработка, уверете се, че отговаря на изискванията на GDPR.
- Прегледайте договорите на служители, клиенти и доставчици и ги актуализирайте, ако е необходимо, за да обхванете обработката на лични данни.
- Планирайте как да разпознавате и обработвате DSAR (заявки за достъп на субект на данни) и отговорете в рамките на един календарен месец.
- Въведете процес за определяне на необходимост от DPIA.
7. Защита на личните данни чрез процедурни и технически мерки
Член 32 от GDPR изисква от организациите да прилагат „подходящи технически и организационни мерки“, за да гарантират, че личните данни се обработват по подходящ начин.
Какво трябва да направите:
- Въведете политика за информационна сигурност.
- Внедрете основни технически контроли, определени от установени рамки като Cyber Essentials.
- Използвайте организационни контроли, когато е подходящо.
- Уверете се, че са въведени политики и процедури за откриване, докладване и разследване на нарушения на сигурността на личните данни.
8. Редовни обучения на служителите
Информираността и обучението на персонала са жизненоважни компоненти от рамката за съответствие с GDPR на всяка организация. Всеки, който участва в обработката на данни, трябва да бъде подходящо обучен да следва одобрени процеси и процедури.
Какво трябва да направите:
- Уверете се, че вътрешните комуникации със заинтересованите страни и персонала са ефективни.
- Обучете служителите си да разбират значението на защитата на данните, основните принципи на GDPR и процедурите, които сте приложили, за да гарантирате съответствие.
9. Постоянен мониторинг
Съответствието с GDPR е текущ проект – по-скоро пътуване, отколкото дестинация. Трябва да извършвате периодични вътрешни одити и редовно да актуализирате вашите процеси за защита на данните. Това включва проверка на вашите записи за дейности по обработка и съгласие, тестване на контролите за сигурност на информацията и провеждане на DPIA.
Какво трябва да направите:
- Планирайте редовни одити на дейностите по обработка на данни и контролите за сигурност.
- Поддържайте актуални записи за обработка на лични данни.
- Предприемете DPIA, когато е необходимо.
- Оценете практиките за защита на данните и управлявайте някои от по-взискателните елементи на спазването на GDPR.
Изпратете запитване
Внедряване на Zero Trust за повишена киберсигурност
В свят, пълен с кибератаки, важността на защитата на корпоративните мрежи и данни е по-критична от...
Как VPS (Virtual Private Server) може да промени вашия бизнес
Virtual Private Server (VPS) е мощно решение, което може да трансформира начина, по който вашата...
Ползите от облачните решения: Оптимизация на ресурсите и увеличаване на ефективността
Virtual Private Server (VPS) е мощно решение, което може да трансформира начина, по който вашата...
Процедура за управление на инциденти в сигурността на информационните системи и информацията
A. Класификация на инцидентите Класификация Примери Критичен – Над 80% от персонала...
Най-големите GDPR глоби през 2023
През 2023 г. срещу Meta, по-рано известна като Facebook, беше наложена безпрецедентна глоба,...
Каква е ролята на DPO?
Ролята на длъжностното лице по защита на данните (DPO) в рамките на институциите и органите на ЕС...
Попадат ли счетоводителите под обсега на новата Директива МИС2
Новата директива МИС2 изисква от счетоводните фирми да предприемат повече мерки за предотвратяване...
Какво представлява директивата МИС2 (NIS2) и как ще се отрази на вашата организация?
В тази публикация обсъждаме какво е МИС2, за какви видове организации се прилага, новите...
Ключовата роля на ИТ одитите за укрепване на киберсигурността в организацията
ИТ одитът е систематичен преглед и оценка на информационните системи, процесите и контролите на...
Всичко, което трябва да знаете за новия Закон за защита на лицата, подаващи сигнали
На 17 декември 2021 г. Европейският съюз представи Директивата за лицата, подаващи сигнали за...