Sper că organizația ta a planificat, a bugetat și a implementat programul de gestionare a confidențialității. Dacă încă nu ai reușit să parcurgi acești pași esențiali ar trebui să iei măsurile necesare pentru a evita sa devii o companie care ar putea să simtă urmările nerespectării GDPR.
În primul rând trebuie să faci maparea sau cartografierea datelor. Știm cu toții că primul pas spre schimbare este conștientizarea. Fără a ști care sunt datele pe care ai, unde sunt stocate și cu cine le împărtășești, este imposibil să respecți cererile de acces ale clienților. Un pilon central al Regulamentului este cerința ”responsabilității”, care începe cu identificarea, inventarierea, documentarea și sistematizarea fluxurilor de date cu caracter personal în cadrul organizației.
În al doilea rând trebuie sa elaborezi și să pui în aplicare un plan de păstrare a datelor. Nu colecta date dacă nu ai nevoie de ele. Nu păstra decât dacă este absolut necesar pentru un scop legitim de afaceri. Gestionarea înregistrărilor poate să fie plictisitoare, dar este din ce în ce mai importantă pentru păstrarea confidențialității si securitatea datelor.
În al treilea rând, trebuie să stabilești și sa actualizezi declarațiile și politicile privind protecția datelor. În plus față de legile anterioare privind confidențialitatea, GDPR necesită o listă mai lungă de informații pe care trebuie sa le oferi clienților și angajaților tăi. În consecință unele politici sunt externe și altele interne. Asigură-te că informațiile sunt cuprinzătoare pentru a evita subminarea valabilității consimțământului clienților. De asemenea, asigură-te ca obligațiile privind protecția datelor sunt prezentate în acordurile furnizorilor și că acestea sunt propagate prin intermediul furnizorilor.
În al patrulea rând, efectuează o evaluare a riscurilor și dacă e cazul o evaluare de impact privind protecția datelor (DPIA). Deși este lung și detaliat, GDPR este modular, scalabil și bazat pe risc. Nu toate obligațiile se aplică fiecărei companii, iar cerințele, în general, aplicabile nu se aplică în același mod în întreaga companie.
În al cincilea rând, numește un responsabil cu protecția datelor (DPO). Cerința GDPR pentru numirea unui Responsabil cu protecția datelor este destul de vastă. Estimările variază, însă cercetările arată, în general, că zeci de mii de companii vor trebui să aibă unul. Fiind un DPO nu este ceva ce un profesionist HR, It-ist sau contabil poate face în afara biroului. GDPR cere ca DPO să aibă ”cunoștințe privind legislația și practicile privind protecția datelor” și capacitatea de a-și îndeplini sarcinile în practică. Acest lucru necesită în mod clar formare profesională și, în mod optim certificare.
În al șaselea rând, pregătește tehnologiile, sistemele și procesele de respectare a drepturilor de protecție a datelor personale. Una din principalele și cele mai scumpe provocări ale implementării GDPR se referă la adaptarea sistemelor existente pentru a se conforma unei lungi liste a drepturilor individuale existente și nou create, printre care se numără și dreptul de a fi uitat, precum și drepturile de acces individual, rectificarea, revocarea, consimțământul, portabilitatea etc.
În cele din urmă și cel mai important, trebuie să recunoști faptul că respectarea GDPR este întotdeauna o activitate în curs de desfășurare. Este practic imposibil să se respecte pe deplin un set larg de obligații care se aplică practic fiecărui proces organizațional, între departamente și locațiile geografice. În conformitate cu abordarea responsabilității, autoritățile de reglementare vor permite companiilor să se adapteze noului cadru și să demonstreze cele mai bune practici, atâta timp cât acestea pot demonstra o abordare serioasă și metodică a implementării GDPR. Este mai bine să poți spune ”am făcut tot ce ne-a stat în putință, dar totuși am suferit o încălcare” decât să spui: ”îmi pare rău, nu am făcut nimic, nu sunt pregătit.”
Nu este prea târziu pentru a începe! Contactează-ne pe adresa office@webspring-design.ro sau la numărul de telefon 0722 277.360