As organizações de todo o mundo irão em breve respirar um suspiro colectivo de alívio à medida que o prazo iminente do GDPR entrar finalmente em vigor. Neste posto, temos uma lista de controlo do GDPR para a
Após todo o planeamento e preparativos que tiveram lugar nos últimos dois anos, o GDPR entrará oficialmente em vigor no dia 25 de Maio e reformulará completamente as actuais regras de protecção de dados, dando aos cidadãos da UE um maior controlo sobre os seus dados.
Tem havido muita confusão de última hora à medida que as empresas se apressam a garantir o cumprimento do novo regulamento e não são responsáveis pelas grandes multas que serão impostas como resultado do incumprimento. Haverá uma série de organizações que levaram tempo a trabalhar metodicamente através do seu planeamento GDPR e outras que deixaram tudo à última da hora.
Não importa em que fase se encontra na sua viagem GDPR, a nossa lista de verificação final fornecer-lhe-á algumas orientações sobre o que precisa de fazer para se certificar de que está preparado para as mudanças iminentes e as medidas que precisa de tomar para demonstrar o cumprimento da lei.
1. Identificar todos os Dados Pessoais que possui
A UE define "Dados Pessoais" como qualquer informação que possa ser utilizada para identificar directa ou indirectamente um indivíduo (pessoa em causa). Isto incluirá tudo desde um nome, endereço de correio electrónico, endereço IP e imagens. Inclui também dados pessoais sensíveis, tais como dados biométricos ou dados genéticos que podem ser processados para identificar um indivíduo.
Se a sua organização lida com dados para cidadãos europeus, terá de completar uma auditoria e descobrir:
- Que dados estão a ser recolhidos?
- Onde é que os dados estão a ser obtidos?
- Porque é que os dados estão a ser recolhidos?
- Como é processado?
- Quem tem acesso?
- Por quanto tempo são os dados retidos?
- Para onde é que os dados estão a ser transferidos?
- Será que todos os dados são necessários?
2. Educar os seus manipuladores de dados pessoais
Um Gestor de Dados Pessoais é qualquer pessoa dentro da sua organização que esteja autorizada a tratar e processar dados pessoais. As responsabilidades são frequentemente atribuídas numa base departamental. Idealmente, cada linha de negócio terá um Data Privacy Champion, alguém que compreenderá as práticas de tratamento, processamento e privacidade de dados pessoais. A nomeação de um responsável pelo tratamento de dados pessoais ajudará a facilitar o cumprimento dentro da sua organização.
3. Compreender o consentimento do sujeito dos dados
O GDPR especifica que deve haver um consentimento explícito do utilizador. Este consentimento tem de ser registado para os processos de relatório e auditoria. Quando o processamento se baseia no consentimento do sujeito dos dados, este pode ser retirado a qualquer momento. Têm também o direito de saber por quanto tempo os seus dados pessoais serão retidos para futuro processamento. Se a sua organização processar dados de indivíduos menores de idade, tem de se certificar de que dispõe dos sistemas adequados para verificar as idades individuais e obter o consentimento dos tutores.
Os sujeitos dos dados devem receber notificações claras e fáceis de compreender. Devem também ter o direito de saber que salvaguardas estão em vigor para proteger os seus dados pessoais e se terceiros estão envolvidos no processamento dos seus dados.
4. Procedimentos de Actualização para Tratamento de Pedidos de Dados
As organizações devem ter processos em vigor para acomodar os pedidos das pessoas em causa. As pessoas em causa devem ser autorizadas a exercer os seus direitos gratuitamente e as organizações devem cumprir no prazo de um mês após a recepção do pedido, ou com uma prorrogação máxima de dois meses, dependendo da complexidade e do número de pedidos.
5. Plano de Identificação e Resposta em caso de Violação da Privacidade
Uma vez que as organizações estejam cientes de que uma violação da privacidade está em curso, a preocupação imediata é impedir que a violação continue. A GDPR exige que as organizações revelem quaisquer violações de dados pessoais à autoridade de supervisão relevante no prazo de 72 horas após a sua detecção.
Se a violação resultar num elevado risco de afectar os direitos e liberdades de um indivíduo, então o indivíduo deve ser notificado com efeito imediato.
As empresas devem dispor de um plano de resposta a incidentes que descreva como os incidentes serão identificados, quem será envolvido, como a ameaça será contida e erradicada, e como a empresa documentará e informará sobre a violação.
6. Compreensão das provas de protecção de dados
As organizações precisam de provar que o pessoal leu e compreendeu as políticas de GDPR. Ser capaz de fornecer esta prova coloca as organizações numa posição forte para demonstrar que a "Privacidade" se tornou parte integrante do seu dia a dia. eLearning é uma das melhores formas de assegurar que o pessoal compreenda plenamente a política da GDPR.
Um programa de eLearning não só garantirá a eficácia da experiência de aprendizagem, como também permitirá às organizações demonstrar que as políticas foram devidamente distribuídas de uma forma significativa e mensurável.
7. Relatório sobre os Esforços de Conformidade em Curso
A GDPR exige que as organizações avaliem a eficácia dos dados pessoais relacionados com as práticas operacionais. A realização de avaliações regulares dos esforços de conformidade e a existência de uma estrutura de apresentação de relatórios permitirá às empresas demonstrar a sua responsabilidade perante a direcção, as partes interessadas e as autoridades de supervisão, caso seja necessário. A eficácia de um programa de conformidade em curso exige o acompanhamento de métricas mensuráveis e processos de ajustamento quando são identificadas inconsistências.
8. Conduzir uma Revisão de Segurança Cibernética
O crime cibernético continua a evoluir e a crescer a um ritmo acelerado e apresenta um perigo real para as organizações em todo o mundo. As organizações precisam de avaliar quão segura é a sua rede, quão fácil pode ser violada, se os dados estão codificados e se o pessoal está treinado para reconhecer os riscos.
A maioria de todas as violações de dados começa com um simples e-mail de phishing, pelo que é vital que as organizações invistam na formação dos seus funcionários para identificar e responder adequadamente a estas ameaças.
O prazo iminente do GDPR não é, de forma alguma, um ponto final para o cumprimento. A GDPR continuará a evoluir ao longo do tempo e as organizações terão de actualizar constantemente os seus processos e sistemas para cumprirem o regulamento.
Se desejar mais informações sobre como a sua organização pode melhorar a sua abordagem à conformidade com a GDPR, clique aqui, para saber como a MetaCompliance pode ajudar.
GDPR para Chupetas
Se desejar uma cópia do nosso guia GDPR for Dummies absolutamente GRATUITA, por favor clique na imagem abaixo
Formação do pessoal da GDPR fácil de compreender
Combinados com o guia GDPR for Dummies, os nossos vídeos nano do tamanho de mordidas permitirão ao seu pessoal compreender os aspectos chave da GDPR. Este é o programa educacional de mais alta qualidade da GDPR disponível. Descubra porque é que os nossos clientes estão a fazer progressos nos seus projectos GDPR.
RESPONSABILIDADE: O conteúdo e opiniões dentro deste blog são apenas para fins informativos. Não se destinam a constituir aconselhamento jurídico ou outro aconselhamento profissional, e não devem ser confiados nem tratados como um substituto para aconselhamento específico relevante para circunstâncias particulares, a Lei de Protecção de Dados, ou qualquer outra legislação actual ou futura. A MetaCompliance não aceitará qualquer responsabilidade por quaisquer erros, omissões ou declarações enganosas, ou por qualquer perda que possa resultar da confiança em materiais contidos neste blog.