GDPR (Общ регламент за защита на данните) е закон на ЕС за защита на данните, който влезе в сила на 25 май 2018 г. Регламентът заменя Директивата на ЕС за защита на данните от 1995 г.
Много неща се промениха оттогава, да не говорим за COVID-19, растежа на дистанционната/хибридна работа, много парламентарни избори и рецесия.
Съответствието с GDPR включва прилагане на процеси и процедури за защита на личните данни на гражданите на ЕС, като например гарантиране, че данните се събират и съхраняват сигурно, информиране на лицата за това как се използват техните данни и право на лицата да достъпват, променят или изтриват своите данни.
Подбрахме най-важните стъпки за да постигнете и поддържате съответствие с GDPR.
1. Управление
Съответствието с GDPR изисква подкрепа от ръководството. Това означава, че най-високото ниво в организацията трябва да разбере последиците от регламента, за да разпредели ресурсите, необходими за постигане и поддържане на съответствие.
Ръководството трябва също така да назначи някой, който да отговаря за съответствието в рамките на организацията.
2. Обхват и планиране
След като ръководството оцени рисковете за защита на данните, трябва да се определи кои области от организацията попадат в обхвата на Регламента.
Какво трябва да направите:
- Назначаване и обучение на ръководител на проекта.
- Назначете DPO (служител по защита на данните), ако е необходимо. Ако не сте сигурни дали и как да назначите DPO, посетете нашата страница с информация за DPO. Има ли нужда моят бизнес от DPO? – CyPro Bulgaria Ltd.
- Идентифицирайте стандарти, които биха могли да осигурят рамка, която да ви помогне да установите вашите приоритети за съответствие:
- Международният стандарт за информационна сигурност ISO 27001 може да ви помогне да приложите най-добрите практики за сигурност на данните. Това ще ви помогне да изпълните изискванията за подходящи технически и организационни мерки за сигурност (член 32, GDPR).
- Други стандарти са разработени, за да позволят спазването на основните закони за поверителност. Те включват ISO 27701 международният стандарт за управление на информацията за поверителност и BS 10012 стандартът за система за управление на лична информация.
- Оценете дали защитата на данните по проект и по подразбиране е включена в процеси и системи.
3. Одит на потока от данни
За да спазите изискванията на GDPR за обработка на данни, трябва да разберете напълно какви данни обработва вашата организация, какви са целите и начинът на обработване.
Какво трябва да направите:
- Оценете категориите данни, които притежавате, откъде идват и законното основание за тяхната обработка.
- Създайте карта, която показва как данните протичат към, през и от вашата организация.
- Използвайте картата на данните, за да идентифицирате рисковете във вашите дейности по обработка на данни и да определите дали е необходима DPIA (оценка на въздействието върху защитата на данните).
- Създайте записи/регистър на дейностите по обработка на лични данни, както се изисква от член 30, извлечени от одита на потока от данни и анализа на пропуските.
4. Оценка на риска
Оценките на риска играят решаваща роля във всеки план за съответствие. GDPR насърчава основан на риска подход към обработката на данни. Това позволява на организациите да разработят подходящи мерки за управление на своите рискове. Регламентът обаче не изяснява как трябва да оценявате и количествено определяте тези рискове.
Какво трябва да направите:
- Създайте план за оценка на риска.
- Идентифицирайте рисковете.
- Анализирайте и оценете рисковете.
- Определете начини да контролирате рисковете във вашата организация
5. ГАП анализ
Провеждането на анализ на пропуските ще ви помогне да идентифицирате всички области, които трябва да бъдат адресирани, за да сте сигурни, че отговаряте напълно на изискванията на GDPR.
Какво трябва да направите:
- Проверете текущата си позиция за съответствие спрямо изискванията на GDPR.
- Определете кои пропуски в съответствието изискват коригиране.
6. Разработете оперативни политики, процедури и процеси
Трябва да приведете съществуващите си политики, процеси и процедури в съответствие с изискванията на GDPR и да разработите нови, за да изпълните законовите си задължения.
Какво трябва да направите:
- Уверете се, че вашите политики за защита на данните и известията за поверителност са в съответствие с GDPR.
- Когато разчитате на съгласие като ваше законно основание за обработка, уверете се, че отговаря на изискванията на GDPR.
- Прегледайте договорите на служители, клиенти и доставчици и ги актуализирайте, ако е необходимо, за да обхванете обработката на лични данни.
- Планирайте как да разпознавате и обработвате DSAR (заявки за достъп на субект на данни) и отговорете в рамките на един календарен месец.
- Въведете процес за определяне на необходимост от DPIA.
7. Защита на личните данни чрез процедурни и технически мерки
Член 32 от GDPR изисква от организациите да прилагат „подходящи технически и организационни мерки“, за да гарантират, че личните данни се обработват по подходящ начин.
Какво трябва да направите:
- Въведете политика за информационна сигурност.
- Внедрете основни технически контроли, определени от установени рамки като Cyber Essentials.
- Използвайте организационни контроли, когато е подходящо.
- Уверете се, че са въведени политики и процедури за откриване, докладване и разследване на нарушения на сигурността на личните данни.
8. Редовни обучения на служителите
Информираността и обучението на персонала са жизненоважни компоненти от рамката за съответствие с GDPR на всяка организация. Всеки, който участва в обработката на данни, трябва да бъде подходящо обучен да следва одобрени процеси и процедури.
Какво трябва да направите:
- Уверете се, че вътрешните комуникации със заинтересованите страни и персонала са ефективни.
- Обучете служителите си да разбират значението на защитата на данните, основните принципи на GDPR и процедурите, които сте приложили, за да гарантирате съответствие.
9. Постоянен мониторинг
Съответствието с GDPR е текущ проект – по-скоро пътуване, отколкото дестинация. Трябва да извършвате периодични вътрешни одити и редовно да актуализирате вашите процеси за защита на данните. Това включва проверка на вашите записи за дейности по обработка и съгласие, тестване на контролите за сигурност на информацията и провеждане на DPIA.
Какво трябва да направите:
- Планирайте редовни одити на дейностите по обработка на данни и контролите за сигурност.
- Поддържайте актуални записи за обработка на лични данни.
- Предприемете DPIA, когато е необходимо.
- Оценете практиките за защита на данните и управлявайте някои от по-взискателните елементи на спазването на GDPR.
Изпратете запитване
Вашите служители са вашият най-голям риск: Защо обученията по киберсигурност са от решаващо значение?
Рискът идва отвътре В дигиталната ера, в която повечето, ако не всички организации са зависими от...
Закон за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения
С този закон се уреждат условията, редът и мерките за защита на лицата в публичния и в частния...
Да, киберпрестъпниците също могат да използват ChatGPT в своя полза
В ерата на роботите и изкуствения интелект идва друг играч на пазара на AI: ChatGPT (Generative...
Всичко, което трябва да знаете, за новата Директива NIS2
Основната цел на NIS2 е да повиши нивото на киберустойчивост в целия Европейски Съюз като изисква...
Защо малките и средни предприятия са най-застрашени от кибератаки
Киберсигурността е среда, която изисква специализиран опит, умения и знания за ефективно...
Как да внедрим план за управление на кибер риска?
Има три основни стъпки за разработване и прилагане на план за управление на риска за...
Как да премахнете личната си информация от резултатите от Google Search
GOOGLE обяви на 27 април, че вече може да изпращаме заявки за премахване на резултати от търсенето...
Заплахи за киберсигурността през 2022 г. – Ето какво трябва да знаете
Заплахите за киберсигурността се фокусират върху получаването на достъп до чувствителни данни на...
Повишаване на ИТ сигурността в личния живот, чрез приемане на навици за сигурност
Тъй като днешното разпространение на кибер заплахи и уязвимости продължава да нараства, важно е...
Връщане на работното място – зачитане на правото на поверителност на служителите
Връщане на работното място? Последните 18 месеца видяхме трансформацията на почти всеки аспект на...