GDPR פירושו GDPR - האם ביצעת את תוכנית ה-SAR שלך?

GDPR של האיחוד האירופי יאומץ על ידי בריטניה ללא קשר לברקזיט ולכן יש צורך בפעולה כעת. עבור אותם עסקים בוחנים באחריות כיצד הם יעמדו בדרישות של תקנה אירופית זו, בקשות גישה לנושאים (SAR's) ללא ספק יהוו חלק מהשיקולים שלהם.

על פי ה-GDPR החדש של האיחוד האירופי, ארגונים חייבים להגיב ל-SARs "ללא דיחוי מיותר ולכל המאוחר תוך חודש אחד". זוהי מסגרת זמן קצרה יותר מאשר במסגרת ה-DPA הקיים שקובע 40 יום. אולי אפילו יותר תובעני הוא שיש לספק מידע משלים גם למבקשים לצד הנתונים האישיים שלהם. זה כולל, במידת האפשר, פרטים על "התקופה הצפויה עבורה מידע אישי יישמר או, אם לא ניתן, הקריטריונים ששימשו לקביעת אותה תקופה".

כמו כן, נדרש מידע נוסף על מנת להסביר את זכויות המבקשים לבקש תיקון או מחיקה של נתוניהם, להתנגד לפעולות עיבוד, וכן זכותם להגיש תלונות מול רשויות הגנת מידע. ארגונים יצטרכו לזהות מהיכן הם שאבו את הנתונים האישיים של המבקשים במקרים שבהם הם לא נאספו ישירות מהאדם. למבקשים תהיה גם זכות לקבל פרטים על אמצעי ההגנה המופעלים כאשר הנתונים שלהם מועברים מחוץ לאזור הכלכלי האירופי.

לפי לשכת נציב המידע (ICO) דוח שנתי עבור שנת הכספים 2015/16*, 42% מ-cאחדים שהועלו איתם במרכז SAR. זה מדגיש את הקשיים שכבר יש לארגונים לעמוד בתקנות הקיימות, הפחות מכבידות. זה מצביע על כך שלארגונים יש דרך לעבור בעמידה בציפיות של הלקוחות, הצוות והרגולטורים!

התכנית

תחת ה-ICO מתכוננים לקראת ה ומרגולצית הנתונים הכללית (GDPR) - 12 צעדים שצריך לנקוט עכשיו**, ה-5 מתאר את הצורך בנהלים ובתוכנית כיצד ארגון יטפל ב-SAR.

בהתחשב בדרישות החדשות, חשוב שהצוות יהיה בעל הכשרה מספקת כדי לזהות מה מהווה בקשה ואת תהליך הטיפול בה. המתנה של ימים לפני תחילת התהליך ואחזור נתונים ממערכות תהיה מסוכנת בהתחשב בכך שהקנסות צפויים להיות גבוהים נוקשה יותר תחת GDPR.

• קבע כיצד תנהל את פרויקט ה-GDPR שלך עם נראות ברורה של כל העבודה שצריך להשלים כדי להשיג תאימות לראיות.
• הסכם מדיניות פנימית שמתארת ​​את הנהלים והתהליכים הפרגמטיים שלך.
• זהה את מי צריך להכשיר וכיצד תראה שההכשרה התבצעה.
• להתחייב מיון והערכה של השפעת הפרטיות.
• זהה ופנה למידע, סיכוני פרטיות פיזיים וחקיקתיים.
• קבע שיטה להקצאת SARs לאנשים מאומנים, יחד עם מועדים והתראות, תוך שמירה על נראות ודיווח ניהולי.

אז, GDPR יכול להוות גורם משמעותי סיכון לארגונים ותוכנית לטיפול יש צורך ב-SAR וכל שאר ההיבטים של הדרישות:

• ודא שיש להם זרימת עבודה ברורה לעקוב אחר היכן שהם יכולים לעקוב אחר העבודה שלהם.
• תן להם את היכולת לגשת במהירות לתגובות תבנית נשלטות גרסאות עם ניסוח סטנדרטי (לספק את הפרטים המשלימים שיש לחשוף לצד נתוני המבקש)
• ציידו את הצוות בכלים למשימה קלה ויעילה של חברי צוות אחרים לבצע את חלקם בתהליך.
• שלב את עבודת ה-GDPR שלך ברחבה יותר ISMS או אבטחת מידע DELETE THIS
• להפגין ממשל יעיל לרגולטור במקרה של חקירה.

ללא ספק, הרגולטורים יחפשו גם עמדה חזקה להדגמת אבטחת הנתונים האישיים על ידי בקרים ומעבדים. בגלל זה פתרון התוכנה שלנו, ISMS.online, כולל את כל הכלים והמסגרות לניהול תאימות GDPR ואבטחת מידע בהתאם לדרישות ISO 27001.

דוח שנתי ודוחות כספיים של נציב המידע 2015/16

מדריך לתקנת הגנת המידע הכללית (GDPR)