Ce este conformitatea cu GDPR?

Conformitatea cu GDPR înseamnă că o organizație respectă regulile Regulamentului general privind protecția datelor și este capabilă să îndeplinească drepturile și obligațiile organizatorice ale persoanelor vizate care sunt prevăzute în acesta. Atunci când oamenii vorbesc despre conformitatea cu GDPR, adesea înseamnă că măsurile de protecție a riscurilor pentru încălcarea datelor cu caracter personal și toate celelalte riscuri și reguli care trebuie respectate sunt perfect acoperite.

Cu toate acestea, nu există nicio securitate sau protecție perfectă în era digitală, unde uneori hackerii chiar depășesc companiile de securitate, hack-urile sunt uneori organizate de grupuri criminale și există chiar atacuri sponsorizate de stat. Dat fiind că datele și tehnologia sunt atât de importante, unele țări folosesc tehnologia pentru războiul cibernetic.

Mai mult, datele nu pot fi niciodată protejate în proporție de 200% și există numeroase alte motive pentru care încălcarea și neconformitatea ar putea apărea odată cu legăturile cele mai slabe. Chiar dacă luați toate măsurile de precauție posibile, unul dintre muncitorii dvs. ar putea face o greșeală .

Prin urmare, organizațiile trebuie să poată dovedi că au făcut și continuă să facă (și după data la care se aplică GDPR) tot ce pot pentru a fi cât mai conform cu putință. Aceasta include cunoașterea datelor cu caracter personal în cadrul organizației, asigurarea (și dovedirea) a faptului că acordul este dat în condițiile legale prevăzute de Regulamentul general privind protecția datelor, fiind capabil să protejeze datele obținute, prelucrate, stocate și – în anumite condiții – împărtășirea datelor cu caracter personal împotriva încălcărilor și abuzurilor, precum și posibilitatea de a răspunde solicitărilor și drepturilor persoanelor vizate. Dacă oricare dintre aceste abilități nu este în vigoare, amenzile și penalitățile pot fi ridicate.

Regulamentul general privind protecția datelor a fost adoptat de Consiliul UE la 8 aprilie 2016 și adoptat de Parlamentul European la 14 aprilie 2016. Textele oficiale sunt disponibile începând cu data de 4 mai 2016. Având în vedere că aceste date pot fi consultate în 24 de documente oficiale limbi.

Regulamentul general privind protecția datelor a intrat deja în vigoare, însă se aplică începând cu data de 25 mai 2018. Termenul de respectare a prescripției GDPR este de asemenea 25 mai 2018.

Cu toate acestea, nu se oprește atunci. Compatibilitatea cu GDPR este un efort continuu. Mai mult, după cum am văzut în drumul spre respectarea GDPR și realitatea în domeniu, este sigur că multe companii nu vor fi conforme cu GDPR. De aceea este important să aveți un plan și să dezvoltați acest plan din perspectiva riscului și cu capacitatea de a demonstra că ați luat – și încă luați – pașii de conformitate GDPR. Dar, desigur, în cazul unei încălcări sau al unui control al datelor cu caracter personal, cel mai bine este cel puțin să fii la fel de conform cu cât poți până la 25 mai 2018.

Din păcate, în ciuda faptului că a fost publicat oficial cu doi ani înainte de termenul limită, un număr mare de organizații este departe de a fi în concordanță cu Regulamentul general privind protecția datelor.

Deși este sigur că vor exista cazuri de amenzi severe pentru a da un exemplu, este, de asemenea, sigur că organizațiile trebuie să continue – și, în unele cazuri, chiar să înceapă – să depună eforturi pentru a obține cât mai mult posibil și pentru a continua să facă acest lucru după 25 mai 2018. În mod ideal, acest lucru începe cu o etapă de conștientizare GDPR într-un plan mai larg. Întrucât amenzile și prevederile GDPR sunt legate de riscurile din perspectiva subiectului datelor și de accentul pe anumite categorii și utilizări ale datelor personale, printre altele în industriile unde sunt multe procese de date cu caracter personal, este important să pornim de la punctul de vedere al riscurilor și au un plan clar de acțiune cu pași documentați. O analiză a riscurilor este esențială, precum și o conștientizare a strategiei și a personalului. Regulamentul general privind protecția datelor începe, de asemenea, din perspectiva riscurilor și a datelor vizate.

Unele organizații preferă să se asigure, însă chiar și atunci, eforturile de respectare a normelor sunt importante, deoarece nu doriți să fiți acea companie cunoscută de clienții săi și de lume ca fiind în totalitate neconformă cu GDPR, să nu mai vorbim suferind de o încălcare, lipsa înțelegerii și concentrarea asupra protecției datelor cu caracter personal, care este la fel de importantă în ceea ce privește leadershipul, cultura, oamenii, procesele și respectul, precum securitatea, gestionarea informațiilor și alte modalități tehnologice de lucru în vederea respectării.

Articolele GDPR sunt pline de reguli privind respectarea Regulamentului și datoria de a demonstra respectarea GDPR. Dacă adăugați considerentele textului GDPR final, există chiar și mai mult nu numai aspectele de conformitate, ci și acele moduri diferite care ajută organizațiile (controlorii și procesatorii) să demonstreze că au luat măsurile necesare pentru a demonstra conformitatea.

Aceste modalități de a demonstra conformitatea cu GDPR sunt, în mod evident, la fel de importante ca și faptul că devin conforme cu GDPR. Nu este ca și cum pe 25 mai toate organizațiile vor fi verificate pentru respectarea GDPR. Cu toate acestea, atunci când se efectuează controale, se depun plângeri ale persoanelor vizate, se înregistrează încălcări ale datelor cu caracter personal, există încălcări clare cu privire la principiile de confidențialitate a datelor (prin design și implicit) și protecția datelor cu caracter personal, demonstrând că respectarea GDPR devine esențială.

În fiecare strategie de conformitate cu GDPR, ar trebui luate în considerare modalitățile de demonstrare a conformității, iar perspectiva riscului în ceea ce privește drepturile și libertățile persoanelor vizate este esențială. Am parcurs metode cunoscute și mai puțin cunoscute pentru a demonstra conformitatea cu GDPR înainte. Solicitarea unei DPIA este văzută ca o modalitate de a demonstra conformitatea, de a solicita consiliere autorităților de supraveghere, după care se aderă la codurile de conduită aprobate sau la certificare, lista continuă. Vom adăuga mai mult ca termen limită de abordare GDPR de abordare. Am vorbit despre DPIA și alte modalități, astfel că aici sunt mai multe informații despre două modalități de a demonstra respectarea GDPR: acele coduri de conduită și certificări.

Adoptarea unui cod de conduită aprobat pentru a demonstra respectarea GDPR

Codurile de conduită pot fi elaborate de autoritățile de supraveghere și de asociațiile private care reprezintă categorii de controlori sau prelucrători care desfășoară activități similare de prelucrare a datelor sau care desfășoară activități în domenii specifice care permit un astfel de cod de conduită.

Trebuie aprobat un cod de conduită și, odată ce acesta este un cod de conduită aprobat, controlorii și procesatorii pot decide să adere la acesta. În cazul în care fac acest lucru, nu este doar un factor care este explicit luat în considerare ca o modalitate de a demonstra conformitatea cu GDPR, dar oferă, de asemenea, beneficii suplimentare, printre altele în domenii precum fiabilitatea percepută a procesatorilor față de controlorii care vor selecta procesoare pe baza gradului lor a garanțiilor suficiente și a conformității cu GDPR și a transferurilor transfrontaliere.

Rețineți că respectarea unui cod de conduită vine și cu responsabilități, desigur. Ar fi prea ușor să adere la un cod de conduită ca o demonstrație a respectării și apoi să nu mai pese prea mult. De aceea există și organisme de monitorizare care verifică dacă respectați codul de conduită.

Certificări pentru a demonstra conformitatea cu GDPR

Regulamentul general privind protecția datelor privind certificările este relativ comparabil cu cel al codurilor de conduită aprobate. Cu toate acestea, o certificare de curs nu este același cu un cod de conduită. Ceea ce ambele au în comun în domeniul de aplicare al conformității cu GDPR este că, de asemenea, certificările reprezintă modalități de a demonstra conformitatea cu GDPR și recunoscute în mod explicit ca atare.

S-ar putea să fi urmat un fel de curs de certificare GDPR deja sau intenționați să. Trebuie remarcat, totuși, că certificarea trebuie să îndeplinească anumite specificații, la fel ca și codurile de conduită, astfel încât să fie atenți la cum și unde.

La fel ca și codurile de conduită, certificările sunt „promovate” de regulamentul general privind protecția datelor ca modalități de a nu demonstra doar respectarea, ci și ca un semn al oricărei părți interesate pe care organizația dvs. o cunoaște cu privire la ceea ce trebuie să facă pentru a desfășura o prelucrare legală a date personale.