Nasveti in triki za GDPR skladnost

  1. S pripravmi začnite takoj

Če se še niste, se takoj začnite pripravljati.

  1. Konteks

Uredba temelji na treh glavnih idejah: varstvo osebnih podatkov, varstvo človekovih pravic in svoboščin pri varovanju njihovih podatkov, omejitev pretoka osebnih podatkov znotraj Evropske unije.

  1. Povečajte ozaveščenost v vaši organizaciji

GDPR je organizacije pozival, naj se nanj začnejo pripravljati čim prej. Sedaj je že v veljavi, vendar nanj mnogi niso (dovolj) pripravljeni. To je razvidno tudi iz kazni za kršitve, ki jih v članicah EU redno izdaja Informacijski pooblaščenec.

Ključni ljudje in odločevalci se morajo zavedati GDPR zakonodaje, da lahko razumejo potencialni vpliv in prepoznajo področja, ki zahtevajo pozornost za skladnost. Začnite tako, da si ogledate register tveganj, če ga imate.

  1. Revizija osebnih podatkov

Dokumentirajte, katere osebne podatke imate, od kod izvirajo in s kom jih delite. GDPR organizacijam nalaga odgovornost za dokazovanje skladnosti z načeli varstva podatkov, na primer z vzpostavitvijo učinkovitih politik in postopkov.

Če ugotovite, da ste z drugimi organizacijami delili nepravilne osebne podatke, ste odgovorni, da drugo organizacijo obvestite o tej netočnosti, da lahko tudi ona popravi svoje evidence.

Vsi podatki, ki jih je mogoče uporabiti za identifikacijo posameznika, ali povezave do identifikacijskih informacij, se štejejo za "osebne podatke" in sodijo pod uredbo GDPR.

  1. Znebite se podatkov, ki jih ne potrebujete več

"Čiščenje" vaših podatkov pomaga pri osredotočanju na pomembne informacije in metrike, ki se uporabljajo za ustvarjanje vrednosti med podjetjem in njegovimi potrošniki.

Postopek vam bo tudi pomagal ostati skladen z zahtevami GDPR glede omejenega obdobja shranjevanja in soglasja za obdelavo.

  1. Posodobite obvestilo o zasebnosti

Ko zbirate osebne podatke, verjetno uporabljate obvestilo o zasebnosti, ki vsebuje informacije, kot so vaša identiteta in način, kako nameravate uporabiti njihove podatke. V skladu z GDPR morate ljudem povedati nekaj dodatnih stvari, kot so:

  • vaša pravna podlaga za obdelavo podatkov
  • vaša obdobje hrambe podatkov
  • uporabnikova pravica, da se pritožijo IP, če menijo, da obstaja nepravilnost v vašem načinu obdelave podatkov
  1. Preglejte svoje postopke, ki podpirajo pravice posameznikov

Ključno pri tem je zagotoviti, da imate vzpostavljene postopke, da lahko ugodite zahtevam posameznika za posredovanje podatkov, ki jih imate o njem, v elektronski in v pogosto uporabljeni obliki.

Glavne pravice posameznikov v skladu z GDPR so:

  • dovoliti dostop posamezniku
  • popravilo nepravilnosti
  • pravica do izbrisa
  • preprečiti neposredno trženje
  • preprečiti avtomatizirano odločanje in profiliranje
  • prenosljivost podatkov (v skladu z zgornjim odstavkom)
  1. Preglejte svoje postopke, ki podpirajo zahteve za dostop posameznika

Zahteve za dostop posameznika lahko mnogim podjetjem povzročile logistične/administrativne glavobole.

Izpolnjevanja razumnih zahtev posamezniku ne smete računati, rok izvedbe pa je omejen na en mesec. Obstajajo tudi različni razlogi za zavrnitev izpolnjevanja zahteve za dostop posameznika. Če zavrnete zahtevo, morate imeti vzpostavljene politike in postopke, ki dokazujejo, zakaj zahteva izpolnjuje ta merila.

  1. Ugotovite in dokumentirajte svojo pravno podlago za obdelavo osebnih podatkov

Razumeti morate različne vrste obdelave podatkov, ki jih izvajate, opredeliti svojo pravno podlago za njeno izvajanje in jo dokumentirati.

  1. Preglejte, kako iščete, pridobivate in beležite soglasje

Če se zanašate na privolitev posameznikov za obdelavo njihovih podatkov, se prepričajte, da ustreza zahtevam GDPR. Če ne, spremenite svoje mehanizme pridobivanja soglasja ali poiščite alternativo soglasju. GDPR jasno določa, da morajo biti upravljavci podatkov sposobni dokazati, da je bila privolitev dana.

Morda boste morali pregledati sisteme, ki jih imate za beleženje soglasja, in zagotoviti, da imate učinkovito revizijsko sled.

  1. „Nedvoumna privolitev“ bo vplivala na trženje

Ena glavnih odločitev GDPR je uvedba „nedvoumne privolitve“, preden se osebni ali vedenjski podatki uporabnika lahko uporabijo za namene trženja. Kot del začetnega stika s posamezniki je pomembno, da razumejo vsak vidik tega, s čim se strinjajo, ko posredujejo informacije o sebi.

  1. Preglejte podatke, ki jih imate o otrocih

GDPR posebej ščiti osebne podatke otrok. Če vaša organizacija zbira podatke o otrocih, mlajših od 13 let, potrebujete soglasje staršev/skrbnika za zakonito obdelavo njihovih podatkov.

  1. Vzpostavite postopke za odkrivanje, poročanje in preiskavo kršitve varstva osebnih podatkov

GDPR zahteva, da vse organizacije obvestijo IPo vseh kršitvah podatkov, kjer je verjetno, da bo posameznik utrpel neko obliko škode, na primer s krajo identitete ali kršitvijo zaupnosti.

Vzpostaviti morate postopke za odkrivanje, poročanje in raziskovanje kršitev.

Neprijava kršitve lahko povzroči globo, pa tudi globo za samo kršitev.

  1. Preizkusite postopke odzivanja na kršitve

Obstaja 72-urna omejitev za obveščanje lokalnega organa za varstvo podatkov (IPRS) o kršitvi podatkov, ki bi lahko povzročila škodo posameznikom, na katere se nanašajo osebni podatki. GDPR zavezuje, da je treba prizadete osebe obvestiti "brez nepotrebnega odlašanja". Redno preizkušajte postopke za obvladovanje kršitev in odgovore na zahteve posameznikov, na katere se nanašajo osebni podatki, da zagotovite, da lahko zaposleni izpolnijo te roke. Vedeti morajo, kako interno prepoznati in prijaviti kršitev podatkov, prav tako mora biti jasno, kdo je odgovoren za komuniciranje z IPRS in strankami.

  1. "Meje" ne obstajajo

Če vaše podjetje v EU zbira podatke o državljanih EU, velja uredba GDPR, ne glede na to, kje se nahajate.

  1. Iznost izven EU

Obstajajo resne omejitve za prenos podatkov v tretje države. Evropska komisija določa, v katere »tretje« države oziroma v katere sektorje ali organizacije v teh državah je dovoljen iznos osebnih podatkov.

  1. Preglejte svoje procese v zvezi z ocenami vpliva na zasebnost podatkov (DPIA)

V situaciji z visokim tveganjem, kot je uvedba nove tehnologije, ali kjer bodo operacije verjetno znatno vplivale na posameznike, boste morda morali izvesti oceno vpliva na zasebnost (PIA).

Razmislite o tem, kje bi bilo v vaši organizaciji potrebno opraviti DPIA. Kdo bo to naredil? Kdo mora sodelovati? Ali naj postopek poteka centralno ali lokalno?

  1. Imenovanje pooblaščene osebe za varstvo podatkov (DPO)

Če vaša organizacija zaposluje 250 ali več ljudi, je javni organ ali je vključena v redno in sistematično spremljanje posameznikov v velikem obsegu, morate imenovati pooblaščeno osebo za varstvo podatkov. Uradna oseba za varstvo podatkov bi morala prevzeti ustrezno odgovornost za skladnost z varstvom podatkov in imeti znanje, podporo in pooblastila za njeno učinkovito izvajanje.

  1. Skladnost z GDPR že po zasnovi

Če vse GDPR postopke oblikujete tako, da ustrezajo uredbi, boste morali to storiti samo enkrat. GDPR je dolgoročen projekt za podjetja, da uredijo od strank pridobljene podatke. Internet Stvari in Veliki Podatki nista gibanje. Sta razvoj tega, kako se ljudje povezujejo in sodelujejo drug z drugim in s svojo fizično okolico. Združljivost z GDPR že od samega začetka zagotavlja, da morate le enkrat prebrati nasvete in pripraviti svoje podjetje na GDPR.

  1. Uporabljajte programsko opremo, skladno z GDPR

Veliko ponudnikov programske opreme, zlasti ponudniki storitev v oblaku, je posodabilo svoje aplikacije in programsko opremo, da bi bili skladni z GDPR. Pogovorite se s svojim trenutnim ali izbranim ponudnikom, da vidite, kako njihova programska oprema deluje v skladu z GDPR, in si oglejte, katere nasvete ima za pomoč pri učinkovitem upravljanju vaših podatkov.

Pomembno vprašanje za ponudnike oblakov je, kje hranijo vaše podatke (imajo podatkovni center) – znotraj ali zunaj EU.

Praktične izvedbe za skladnost z GDPR

Javne strani

  • Politika zasebnosti - temeljni dokument, kjer predstavite svojo skladnost z GDPR, kot so:
    • Katere osebne in neosebne podatke zbirate
    • Zakaj jih zbirate
    • Kako dolgo se hranijo (ne smejo se hraniti dlje, kot je potrebno za namene, za katere so bili zbrani)
    • Mednarodni prenos v druge države
    • Pravice uporabnika v zvezi z njegovimi podatki
    • Kako so podatki zaščiteni
    • Uradni naslov, kontaktni podatki in kontaktni podatki za DPO
  • Pogoji uporabe

Stran za registracijo

  • Minimizacija podatkov - polja za zbiranje podatkov naj bodo minimalna in le za potrebne informacije
  • Možnost jasne privolitve
  • Potrditveno polje za strinjanje z Splošnimi pogoji ter Pravilnikom o zasebnosti
  • Potrditveno polje za Trženje, če načrtujete marketinško dejavnost

Stran s profilom uporabnika

  • Uporabnik mora imeti možnost spreminjanja/popravljanja svojih podatkov (neposredno ali posredno)
  • Uporabnik ima pravico izbrisati svoj račun (neposredno ali posredno)
  • Pravica do omejitve obdelave. Na zahtevo uporabnika njegovi osebni podatki ne smejo biti več javno dostopni drugim uporabnikom in sistemskim skrbnikom.
  • Uporabnik ima pravico do izvoza in/ali posredovanja njegovih podatkov drugemu upravljavcu.
  • Podrobno soglasje. Upravljavec mora biti sposoben dokazati prejeto soglasje.
  • Možnost dajanja/umika soglasja za določena dejanja (npr. marketinška pošta)

Dodatna funkcionalnost

  • Ko podatki niso več potrebni, jih je treba izbrisati ali anonimizirati
  • Upravljavec mora o zgoraj navedenih dejanjih (zahteva za spremembo, izbris, omejitev obdelave ipd.) obvestiti vse ostale obdelovalce uporabnikovih podatkov.

Organizacijski ukrepi za varstvo podatkov

  • Pomembni pravilniki in dokumenti
    • Politika varstva podatkov
    • Evidence dejavnosti obdelave
    • Politika odzivanja na varnostne incidente
    • Politika hrambe podatkov

Ostali priporočljivi pravilniki (lahko jih združimo v enega ali več dokumentov)

  • Obnovitev po nesreči in neprekinjeno poslovanje
  • Politika uničevanja podatkov
  • Politika varnostnega kopiranja
  • Postopek zaposlovanja
  • Politika nadzora dostopa do sistema
  • SLA
  • Politika življenjskega cikla razvoja programske opreme
  • Postopki stopnjevanja
  • Politika kriptografskega nadzora
  • Standardi kodiranja
  • Postopek prenosa v produkcijo

Tehnični ukrepi za varstvo podatkov

GDPR ne navaja posebej, katere ukrepe morate izvesti, zahteva pa, da upravljavec vpelje ustrezne tehnične in organizacijske ukrepe.

  • Access control (physical and technical)
  • Encryption of
    • Data at rest (whole disk, database encryption)
    • Data in transit (HTTPS, IPSec, TLS, PPTP, SSH)
    • Backups
  • Firewalls
  • VPN access
  • Intrusion detection
  • Intrusion prevention
  • Health monitoring
  • Password requirements
  • 2 factor authentication
  • Antivirus
  • Other measures, depending on the system in use
  • Nadzor dostopa (fizični in tehnični)
  • Šifriranje
    • Podatki v mirovanju (cel disk, šifriranje baze podatkov)
    • Prenos podatkov (HTTPS, IPSec, TLS, PPTP, SSH)
    • Varnostne kopije
  • Požarni zidovi
  • VPN dostop
  • Zaznavanje vdorov
  • Preprečevanje vdorov
  • Spremljanje zdravja
  • Zahteve za geslo
  • 2 faktorska avtentikacija
  • Antivirus
  • Drugi ukrepi, glede na uporabljen sistem

Posebne točke, ki lahko zahtevajo sodelovanje odvetnikov

  • GDPR privzeto prepoveduje obdelavo posebnih podatkov. Vendar, če izpolnjujete eno izmed točk člena 9(2), lahko z obdelavo nadaljujete.
  • Za upravljavce ali obdelovalce, ki niso registrirani na območju EU, je treba imenovati pooblaščenega zastopnika.
  • Upravljalec je odgovoren za svoje podizvajalce. Upoštevati morajo GDPR, ne glede na to, kje se nahajajo.
  • Podizvajalec ne sme uporabljati storitev drugega podizvajalca brez pisnega soglasja upravljavca. Seveda to velja samo za naloge znotraj sodelovanja z upravljavcem.
  • Resne omejitve pri prenosu podatkov. To velja tudi za shranjevanje podatkov v primeru ponudnikov storitev v oblaku.
  • Uradna oseba za varstvo podatkov (DPO)