Organisationer runt om i världen kommer snart att andas ut en kollektiv suck av lättnad när den förestående tidsfristen för GDPR äntligen träder i kraft. I det här inlägget har vi en checklista för GDPR för de
Efter all planering och alla förberedelser som har ägt rum under de senaste två åren kommer GDPR officiellt att träda i kraft den 25 maj och helt ändra de nuvarande dataskyddsreglerna, vilket ger EU-medborgarna större kontroll över sina uppgifter.
Det har varit en hel del krångel i sista minuten när företagen har bråttom att se till att de följer den nya förordningen och inte är skyldiga att betala de höga böter som kommer att införas om de inte följer den. Det kommer att finnas ett antal organisationer som har tagit sig tid att metodiskt arbeta igenom sin GDPR-planering och andra som har lämnat allt till sista minuten.
Oavsett vilket stadium du befinner dig i GDPR-resan ger vår sista checklista dig riktlinjer för vad du behöver göra för att se till att du är redo för de kommande förändringarna och de steg du behöver ta för att visa att du uppfyller kraven framöver.
1. Identifiera alla personuppgifter som du har
EU definierar "personuppgifter" som all information som kan användas för att direkt eller indirekt identifiera en person (den registrerade). Detta omfattar allt från namn, e-postadress, IP-adress och bilder. Det omfattar även känsliga personuppgifter, t.ex. biometriska uppgifter eller genetiska uppgifter som kan behandlas för att identifiera en person.
Om din organisation hanterar uppgifter om EU-medborgare måste du göra en revision för att ta reda på det:
- Vilka uppgifter samlas in?
- Varifrån kommer uppgifterna?
- Varför samlas uppgifterna in?
- Hur bearbetas den?
- Vem har tillgång?
- Hur länge sparas uppgifterna?
- Vart överförs uppgifterna?
- Behövs alla uppgifter?
2. Utbilda dina personuppgiftshanterare
En personuppgiftshandläggare är en person inom din organisation som är auktoriserad att hantera och behandla personuppgifter. Ansvaret tilldelas ofta på avdelningsnivå. Helst ska varje verksamhetsgren ha en dataskyddsansvarig, en person som förstår hur man hanterar, behandlar och skyddar personuppgifter. Att utse en personuppgiftsansvarig kommer att underlätta efterlevnaden inom din organisation.
3. Förstå den registrerades samtycke
I GDPR anges att det måste finnas ett uttryckligt samtycke från användaren. Detta samtycke måste registreras för rapporterings- och revisionsprocesser. Om behandlingen bygger på den registrerades samtycke kan denne när som helst återkalla detta samtycke. De har också rätt att få veta hur länge deras personuppgifter kommer att sparas för framtida behandling. Om din organisation behandlar uppgifter om minderåriga personer måste du se till att du har lämpliga system för att verifiera individernas ålder och få samtycke från vårdnadshavare.
De registrerade bör få meddelanden som är tydliga och lätta att förstå. De bör också ha rätt att få veta vilka skyddsåtgärder som finns för att skydda deras personuppgifter och om det finns tredje parter som är inblandade i behandlingen av deras uppgifter.
4. Uppdatera förfarandena för hantering av begäran från den registrerade
Organisationer måste ha rutiner för att tillgodose begäran från registrerade personer. De registrerade måste få utöva sina rättigheter kostnadsfritt och organisationerna måste uppfylla kraven inom en månad efter det att de mottagit begäran, eller med en förlängning på högst två månader beroende på hur komplicerade och många förfrågningar de får.
5. Plan för identifiering och hantering av integritetsintrång
När organisationer väl är medvetna om att ett integritetsintrång är på gång är det viktigaste att stoppa intrånget från att fortsätta. GDPR kräver att organisationer ska avslöja alla personuppgiftsincidenter för den relevanta tillsynsmyndigheten inom 72 timmar efter upptäckt.
Om överträdelsen medför en hög risk för att en enskild persons rättigheter och friheter påverkas måste den berörda personen underrättas med omedelbar verkan.
Företagen bör ha en incidenthanteringsplan som beskriver hur incidenter kommer att identifieras, vem som kommer att engageras, hur hotet kommer att begränsas och utplånas samt hur företaget kommer att dokumentera och rapportera om överträdelsen.
6. Bevis på förståelse för dataskydd
Organisationer måste bevisa att personalen både har läst och förstått GDPR-policyerna. Att kunna tillhandahålla dessa bevis ger organisationerna en stark ställning när det gäller att visa att "integritet" har blivit en integrerad del av deras dagliga verksamhet. eLearning är ett av de bästa sätten att se till att personalen förstår GDPR-policyn till fullo.
Ett eLearning-program säkerställer inte bara att inlärningsupplevelsen är effektiv, utan gör det också möjligt för organisationer att på ett meningsfullt och mätbart sätt visa att policyer har distribuerats på rätt sätt.
7. Rapportera pågående insatser för efterlevnad
Dataskyddsförordningen kräver att organisationer utvärderar effektiviteten i fråga om personuppgifter i samband med operativa metoder. Genom att genomföra regelbundna utvärderingar av efterlevnadsarbetet och ha en rapporteringsstruktur på plats kan företagen bevisa ansvarsskyldigheten gentemot högsta ledningen, intressenter och tillsynsmyndigheter om det skulle behövas. Effektiviteten hos ett pågående program för efterlevnad kräver att man följer upp mätbara mätvärden och justerar processerna när inkonsekvenser identifieras.
8. Genomföra en översyn av cybersäkerheten
Cyberbrottsligheten fortsätter att utvecklas och växa i snabb takt och utgör en verklig fara för organisationer över hela världen. Organisationer måste bedöma hur säkert deras nätverk är, hur lätt det är att bryta sig in i det, om uppgifterna är krypterade och om personalen är utbildad för att känna igen riskerna.
Majoriteten av alla dataintrång börjar med ett enkelt phishing-e-postmeddelande, så det är viktigt att organisationer investerar i att utbilda sina anställda så att de kan identifiera och reagera på lämpligt sätt på dessa hot.
Den nära förestående tidsfristen för GDPR är inte på något sätt en slutpunkt för efterlevnad. GDPR kommer att fortsätta att utvecklas med tiden och organisationer måste ständigt uppdatera sina processer och system för att följa förordningen.
Om du vill ha mer information om hur din organisation kan förbättra sin strategi för GDPR-efterlevnad, klicka här för att ta reda på hur MetaCompliance kan hjälpa dig.
GDPR för Dummies
Om du vill ha ett exemplar av vår GDPR-guide för Dummies helt GRATIS kan du klicka på bilden nedan.
Lättförståelig GDPR-utbildning för personalen
I kombination med GDPR for Dummies-guiden kommer våra nano videor att göra det möjligt för din personal att förstå de viktigaste aspekterna av GDPR. Detta är det GDPR-utbildningsprogram av högsta kvalitet som finns tillgängligt. Ta reda på varför våra kunder gör framsteg i sina GDPR-projekt.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.