Implementarea GDPR- ghid rapid

Până la 25 mai 2018, majoritatea organizațiilor, fie localizate în UE, fie care oferă servicii cetățenilor UE, au adoptat cerințele Regulamentului general de protecție a datelor (GDPR) sau cel puțin asa ar trebui . În cazul în care sunteți un implementator târziu sau o firma infiintata dupa luna mai 2018 , am dori să vă împărtășim experienta noastră dovedită de implementare a sistemului de gestionare a securității informațiilor conform GDPR într-o organizație.

Introducere GDPR

Regulamentul general privind protecția datelor definește drepturile fundamentale a persoanelor fizice, în contextul procesării datelor cu caracter personal. Apoi, definește, de asemenea, bazele pentru prelucrarea datelor cu caracter personal de către o organizație și listează cerințele privind securitatea datelor cu caracter personal pe care o astfel de organizație ar trebui să le îndeplinească.

Implementarea GDPR- ghid rapid

Deci, ce este nevoie pentru a implementa GDPR în organizația dvs.? În acest moment, vă recomandăm Kitul nostru de implementare  Self GDPR , care pe langa certitudinea unei implementari corecte se concentrează pe prelucrarea sigură a informațiilor personale din organizația dvs.  sau pueti opta pentru cursul video plus KIT  inclus  Curs video GDPR

Pentru a va face o idee legata de implementare  , am schematizat procesul conform urmatoarei scheme :

Asadar ,

Pasul 1 – Documentați categoriile de date cu caracter personal

Primul pas este să documentați ce categorii de date personale prelucrati ca organizație. În calitate de prelucrator date în cadrul GDPR, organizația dvs. decide cu privire la scopul prelucrării datelor. Cititi si Articole GDPR
Dacă vă întrebați care ar putea fi exemplele de categorii de date – aici vine lista foarte scurta  cu câteva exemple pentru care aveti nevoie de consimtamantul persoanelor care fac obiectul procesarii.

  •  Datele clienti
  • Datele marketing , date din online
  • Datele de resurse umane
  • Date sensibile /speciale

Pasul 2- Efectuați evaluarea riscurilor

În al doilea rând, după cum știți, dacă aveți evidenta categoriilor de date cu caracter personal pe care le prelucrați, ar trebui să efectuați evaluarea riscurilor pentru fiecare dintre aceste categorii. Evaluarea riscurilor vizează identificarea amenințărilor la datele cu caracter personal și calcularea nivelului de risc pentru acestea, pe baza probabilității și a impactului riscului asupra organizației si implicit asupra persoanelor a caror date le prelucrati .

Decideți modalitate tratare risc

1. Măsuri tehnologice – criptarea datelor, copiile de rezervă și monitorizarea infrastructurii dvs. sunt câteva dintre măsurile de securitate la care se face referire direct în GDPR.
2. Măsuri organizatorice – este vorba despre definirea sistemului dvs. de gestionare a securității informațiilor. Veți introduce politici și vă veți instrui angajații, întrucât securitatea fiecărui sistem depinde de personalul competent și conștient de securitate.
3. Măsuri contractuale – atunci când utilizați serviciile altor companii ( terti ) pentru prelucrarea datelor, veți fi nevoiti să reglementați modul în care o altă companie își oferă serviciile sau produsele cu privire la GDPR și securitatea datelor cu caracter personal.
Decizia dvs. va fi apoi documentată într-un Plan de tratare a riscurilor, care este utilizat pentru a ghida și controla implementarea în organizația dumneavoastră.

Pasul 3 -Implementați măsuri de securitate a datelor cu caracter personal

Acum este timpul să implementați măsurile de securitate pe care le-ați ales. Îl identificăm ca un pas separat, deoarece acesta este de obicei un proiect mai lung. Veți implementa practic măsurile de securitate selectate si documentate în Planul de tratare a riscurilor. Lista de mai jos prezintă câteva exemple de elemente tipice aici.

Măsuri tehnologice :
• introducerea criptării pentru HDD, stocare server, servicii cloud (în general date în repaus/arhivate )
• introducerea criptare pentru canalele de comunicare (HTTPS, e-mail și așa mai departe)
• monitorizarea infrastructurii tehnologiei de comunicare informațională (TIC)
• realizarea și testarea copiilor de rezervă ale sistemelor dvs. la intervale regulate
• testarea măsurilor de securitate, a infrastructurii TIC și a eficacității sistemului

Măsuri organizatorice :

• definirea rolurilor și a responsabilităților acestora
• introducerea de politici privind securitatea datelor personale
• dacă este necesar, crearea procedurilor de operare standard pentru executarea activităților de securitate a datelor cu caracter personal
• manipularea și procesarea oricăror evenimente și accidente de securitate

Măsuri contractuale:

• furnizarea de informații persoanelor cu privire la prelucrarea datelor lor cu caracter personal
• semnarea contactelor cu procesatorii ( tertii ) de date cu caracter personal
• actualizarea contractelor cu angajații dvs. în domeniul prelucrării datelor cu caracter personal
• gestionarea acordurilor utilizatorilor

Pasul 4- Protejați datele cu caracter personal în operațiuni

Scopul acestui pas este să vă asigurați că toate activitățile din jurul menținerii sistemelor dvs. sunt în siguranță și că operațiunile sunt pe deplin indeplinite de angajati si cei implicati in prelucrare ,inclusiv tertii. În setul de cunoștințe GDPR , procesul este pus in practică, după ce ați definit sistemul dvs. de colectare ,gestionare a securității informațiilor si management date inclusiv registrul de prelucrare date  ,veți pregăti Procedura de gestionare a operațiunilor, veți defini sarcinile care trebuie îndeplinite și veți atribui persoana responsabilă de executarea acestora. De obicei, administratorul sistemului IT va fi angajat în astfel de activități, dar puteti desemna orice alt angajat Desemnare DPO pentru ghidaj solicitati gratuit   Fisa post DPOÎn cadrul procesului de gestionare a operațiunilor, veți implementa, de asemenea, controalele de tip audit .

Pasul 5- Verificati masurile implementate

Scopul acestei activități este de a monitoriza și revizui eficiența sistemului dvs. de gestionare a securității informațiilor în raport cu obiectivele de confidențialitate a datelor cu caracter personal. Revizuirea poate fi realizată cu ajutorul unor elemente precum:


1. Monitorizarea infrastructurii TIC
2. Verificați dacă toate sarcinile din procesul de gestionare a operațiunilor au fost finalizate
3. Auditari atât la nivel tehnologic, cât și la nivel de organizație
4. Prezentare generală a gestionării incidentelor de securitate
5. O reuniune anuală de revizuire minim anuala a managementului datelor .

Aceștia sunt toți pașii necesari pentru a defini și implementa un sistem de management al securității informațiilor compatibil cu GDPR în organizația dvs. Dacă doriți să aflați mai multe despre cum să faceți acest lucru, vă rugăm să consultați setul  nostru de cunoștințe  GDPR – si Manualul , care este primul dintre pașii necesari pentru implementare si instruire angajati.

Puteti fi la curent cu noutatile  prin abonare la Resurse

Daca ati achizitionat resursele noastre legate de GDPR  Resurse practice GDPR veti beneficia in permanenta de atentie personalizata.

Cu drag ,

Echipa Business Way