10 viisi, kuidas valmistada teie organisatsioon ette Üldiseks andmekaitse eeskirjaks (GDPR)

Üldine andmekaitse eeskiri (GDPR), mis kehtestatakse 25. mail 2018, peaks mõjutama kõiki Euroopa Liidu liikmesriike ja samuti riike, mis tegelevad EL kodanike andmetega.

Siiski vihjab DMA uurimus sellele, et aasta varem üle veerandi (26%) turundajatest tunnetavad, et nende äritegevus ei ole valmis GDPR-ks.

Seega, mida saavad firmad teha selleks, et kindlustada oma vastavus? Siin on 10 lihtsat sammu, mida organisatsioonid saavad ette võtta.

1. Jätka planeerimist GDPR-ks

Oma blogis vaigistas Steve Wood, Rahvusvahelise Strateegia ja Luure juht Informatsiooni Erivoliniku Büroos (IEB), muresid Brexiti kohta, väites, et „kui rakendatuna ELis, on GDPR asjaomane paljudele organisatsioonidele Ühendkuningriigis“.

See tähendab, et kuigi Ühendkuningriik valmistub väljumiseks EList, alluvad paljud selle ettevõtted ja organisatsioonid veel GDPR nõuetele (ja ikkagi tegelevad Ühendkuningriigi ettevõtted EL andmetega).

2. Tõsta teadlikkust

Tähtis on kindlustada, et kõik tähtsad otsustajad sinu organisatsioonis on teadlikud GDPR järelmitest ja mida see tähendab nende igapäevase töö jaoks.

Vastavalt Gigamoni 2017.  aasta Ühendkuningriigi kübervalmiduse uuringule  ütles ainult 41% IT spetsialistidest, et nad on „täiesti teadlikud“ GDPR järelmitest, samas 9% väitis, et neil polnud mingit teadlikkust.

Need arvud näitavad selgelt, et peab tegema tööd kindlustamaks, et kõik organisatsioonid tulevad kaasa uute ettepanekutega.

3. Tee kindlaks, kuidas sinu organisatsioon tegeleb andmetega

Vastavalt kehtiva EL andmekaitse direktiivile vastutavad andmete eest vastutajad ainult siis, kui asi puudutab vastavust andmekaitsele.

Ent nagu IEB selgitab, asetab GDPR otsesed seadusjärgsed kohustused ka andmetöötlejatele.

Seepärast on tähtis teha kindlaks, kas sinu organisatsioon on andmetöötleja või andmevastutaja, pidades meeles seda, et see võib olla nii üks kui teine.

„On tähtis teha kindlaks, kas sinu organisatsioon on andmetöötleja või andmevastutaja, pidades meeles seda, et see võib olla nii üks kui teine.“

Sinu praeguste meetodite auditeerimine on üks paremaid viise, kuidas valmistuda EAKEks, s.t. hoolikas arusaamine sellest, kuidas sinu organisatsioon tegeleb andmetega, on ülim.

4. Uuri andmekäitluse iga tahku oma organisatsioonis

On tähtis teha kindlaks, kus hoitakse isikuandmeid, enne kui hindad selle koha turvalisust, kes vastutab nende andmete hoidmise eest ja kas neid jagatakse.

Oma IT osakonna kaasamine sellesse protsessi on ülioluline ja annab sulle parema ettekujutuse sinu organisatsiooni praegustest võimetest.

5. Uuri eelmisi rikkumisi

Kõikide eelmiste sinu süsteemi andmete rikkumiste uurimine annab sulle selgema ettekujutuse sinu organisatsiooni võimekusest reageerida tulevastele rünnakutele ja pakub parema pildi sellest, kas need protseduurid vastavad tuleviku nõudmistele.

“Andmerikkumistest peab teatama 72 tunni jooksul avastamisest.“

Üheks standardmeetmeks, mida juurutab EAKE, on see, et andmerikkumistest  peab teatama 72 tunni jooksul  avastamisest koos detailse teabega rünnaku loomusest ja tõsidusest.

Igal organisatsioonil, mis ei täida eeskirja on oht saada olulisi trahve, seega on neil suur stiimul panna oma majandus korda.

6. Määra andmekaitseametnik (AKA)

Vastavalt IAPP –le (Rahvusvaheline Privaatsusprofessionaalide Assotsiatsioon) on andmekaitseametnikud olulised ametivõimudele ja teistele organisatsioonidele, mis tegelevad tegevustega, mis jälgivad laialdaselt andmesubjekte.

Andmekaitseametnik tegutseb iseseisvalt ja annab aru organisatsiooni juhtkonna kõige kõrgemale tasemele.

Nende peamine vastutusala on laitmatult aru saada GDPR-st ja rakendada vajalikke tingimusi saavutamaks sellega nõustumine.

7. Tunne reegleid, mis ümbritsevad indiviidide õigusi

Üks GDPR võtmekaaslasi on indiviidide õiguste tugevdamine, kaasa arvatud olla unustatud, ja andmete portatiivsus, see tähendab seda, et sa oled kohustatud edastama andmeid indiviidile nii, et neid saab viia konkurendile.

Ettevõtted peavad edendama selliseid õigusi, seega on tähtis kindlustada, et eksisteerivad kohased protseduurid, et teha see võimalikuks.

8. Hari ennast nõusoleku kohta

GDPR eesmärk on pakkuda enam selgust siis, kui käsitleb nõusoleku probleemi. Uued meetmed nõuavad, et firmad saaksid selgesõnalise seisukohavõtu või “selge nõusoleku ”, kui asi puudutab andmete töötlemist.

Firmad alluvad uutele meetmetele, mis piiravad laste võimekust nõustuda andmetöötlusega vanemate nõusolekuta.

Üks GDPR võtmekaaslasi on indiviidide õiguste tugevdamine.“

Väärt on uurida, millised praktikad on juba kohased, kui asi puudutab andmesubjektide teavitamist sellest, kuidas teavet nendest kasutatakse ja töödeldakse.

9. Tee kindlaks oma juhtiv järelevalveinstitutsioon

Paljud GDPR-st mõjutatud organisatsioonid töötavad rahvusvaheliselt ja võivad omakorda alluda teistsugustele direktiividele, mis lähevad GDPR-st kaugemale.

Võib olla keeruline aru saada, milline andmekaitse järelevalveinstitutsioon on eesotsas, kui uuritakse kaebust, kuid vastavalt GDPR artikkel 56-le määrab selle organisatsiooni peaadministratsiooni asukoht ELs.

Sellest on raske aru saada paljude asukohtadega firmadel, seega kui on mingit määramatust, on tähtis teha kindlaks, kus tehakse tähtsaid otsuseid seoses andmetöötlusega, kuna see on tõenäoliselt sinu juhtiv järelevalveinstitutsioon.

10. Eralda enam ressursse

Kõik need kaalutlused võivad asetada palju pinget organisatsiooni taristule, seega on oluline, et firmad eraldaksid lisaressursse, et tulla toime nende nõuetega.

Hiljutine WLS valge raamat hoiatab, et etteplaneerimiseta võidakse ettevõtted „jätta uute nõudmiste rakendamisega ilma sobivate ressursside, mis on vajalikud saavutamaks vastavust, kõrvale panemiseta“.

Ressursside eraldamine protsessi algul on seepärast iga võimaliku hilisema surve kergendamise  suurepärane viis.

Rohkem teavet Üldisest andmekaitse eeskirjast saab ESETi vastavalt veebilehelt, et aidata kindlustada, et kui saabub aeg, on teile kõige kohta kate

Allikas: WeLiveSecurity