День GDPR, 25 мая, быстро приближается. Для большинства из нас ведутся разговоры, но были ли реализованы планы действий? Обучаются ли сотрудники? Есть ли у вас руководство по защите данных?
Процессы кажутся сложными, но на то есть веские причины. Новый регламент является обновлением Закона 1998 г., который был создан на основании Директивы ЕС о защите данных в 1995 г. Так зачем его менять сейчас?
20 лет назад мир был другим. Amazon был запущен в июле 1995 года, а в сентябре того же года был запущен eBay. Впервые вы смогли отправить текстовое сообщение с предиктивным вводом текста в 1993 году. И у большинства компьютеров была оперативная память на 8 МБ, а дополнительная оперативная память на 4 МБ стоила 400 долларов. С 1995 года мы наблюдали запуск Facebook (февраль 2004 г.) и Twitter (март 2006 г.) среди многих других платформ, которым мы с радостью передавали личные данные.
Взаимодействие с нашими личными данными, где они были размещены, и наши покупательские привычки были на пороге гигантского сбоя. Мы не думали о том, где находятся наши данные, кто их использует и даже продаются ли они как товар.
Сравнивая наш мир с нынешним, легко понять, почему предыдущие законы устарели и почему GDPR вступает в силу - чтобы заменить и усилить Закон о защите данных.
Есть несколько требований к GDPR , но их можно сгруппировать в три основных направления:
Обучите персонал тому, чтобы они понимали правила и соблюдали правила - это ответственность каждого, кто имеет дело с личными данными. Другими словами, если клиент позвонит и спросит, где хранятся его личные данные, все узнают?
Назначьте ответственного за защиту данных, чтобы убедиться, что кто-то знает GDPR и имеет право вносить изменения и рекомендовать менеджерам внедрять изменения, а также проводить постоянное обучение. Каждый специалист также должен понимать, как реагировать на «утечку данных».
Аудит существующих процессов определяет, как данные используются, обрабатываются и передаются в рамках практики и клиентов.
Убедитесь, что пароли и документы надежно хранятся (в том числе на портативных компьютерах и смарт-устройствах), а письма-соглашения с клиентами обновлены.
Бухгалтерская практика также должна учитывать политики для правильной идентификации вызывающих абонентов и обеспечения процесса предотвращения неправильного обмена информацией с неправильными клиентами.
Обязательно составьте план действий с указанием сроков. Это должно включать создание записей обработки данных, политику защиты данных, аудит безопасности и, при необходимости, запрос повторного согласия.
Вы должны задокументировать, какие личные данные вы храните, откуда они поступили, с кем вы ими делитесь и что вы с ними делаете. После завершения аудита он поможет устранить любые недостатки и обеспечить соответствие GDPR.
После того, как политика определена, ее необходимо задокументировать, поделиться ею с персоналом и превратить в новый «обычный бизнес». Хорошая практика - информировать клиентов о ваших успехах.
Существует множество ресурсов, которые помогут обеспечить соблюдение нормативных требований. Офис Комиссара по информации ( ICO ) предоставляет хорошие общие бизнес-советы, включая шаблоны для документирования, в которых хранятся все личные данные. Для получения конкретной информации о бухгалтерской практике существует множество специальных руководств и ресурсов с IRIS GDPR . концентратор.
Наконец, несмотря на то, что существует множество практик (и предприятий), которые беспокоятся о том, что GDPR будет обременительным, его стоит сравнить со стандартами пищевой гигиены. Все заведения общественного питания, независимо от их размера, должны соответствовать стандартам гигиены.
Никто не стал бы есть в кафе, не соблюдая правила гигиены, и то же самое можно сказать о методах, которые не защищают данные их клиентов.
Новые правила защиты данных уже не за горами, и решение о том, когда действовать, - не вариант. Решить, что делать на этой неделе, является приоритетом. Мы ведь не хотим, чтобы кто-нибудь получил пищевое отравление?