Аншлаг с GDPR немного стих, кто-то внедряет изменения, кто-то благополучно надеется, что его не будут проверять, а мы, учитывая важность и, что уж тут скрывать, риски больших финансовых санкций, считаем необходимым вновь напомнить про изменения в сфере защиты персональных данных.

Так, GDPR были приняты для предотвращения всеобщего и бессрочного хранения персональных данных. Новые нормы по идее должны разделить, какие именно данные и на какой конкретный срок нужно сохранять с учетом того, для чего они будут использоваться.

Пока никто не слышал о массовых проверках по данному вопросу, не помешает предпринять несколько шагов для соблюдения GDPR.

1. Кадровые изменения

Назначить ответственное лицо за политику сбора и хранения персональных данных в компании. Кроме собственно ответственного лица (конкретной должности) может быть создана рабочая группа, где каждый будет понимать свою зону ответственности по данному вопросу.

2. Определения сути запрашиваемых данных

Определите, какие данные из тех, что вы собираете, подпадают под GDPR. Потом проанализируйте, какие из них и для чего вам нужны, сможете ли вы обойтись без них. Объективно обоснуйте, в течении какого периода времени вам нужно их хранить (к сроку хранения также могут быть вопросы).

3. Определение доступа

Определите, кто из сотрудников компании будет иметь доступ к персональным данным. А затем проанализируйте, кому действительно нужен такой доступ и сократите список.

4. Разработка документации

В компании необходимо утвердить документы, которые регламентируют процедуры сбора, хранения и удаления данных, должностные инструкции причастных к процессу лиц, своевременно актуализируйте и обновляйте эти документы.

5. Определение рисков

Проанализируйте, в связи с какими обстоятельствами может произойти утечка данных и разработайте процедуры для предотвращения таких ситуаций. Поработайте над информационной безопасностью компании.

6. Оповещение

Проинформируйте своих клиентов (как внешних, так и внутренних) о новых правилах работы с персональными данными. Клиенты должны понимать, к какому представителю компании они могут обратиться в случае возникновения вопросов.

7. Систематизация и автоматизация

Требования GDPR нельзя выполнить один раз и забыть о них. Данная работа постоянна, защита данных должна поддерживаться на должном уровне. Поэтому все операции и процессы должны быть систематизированы, а в идеале – автоматизированы, с наименьшим привлечением человеческого ресурса.

И хотя проверок и штрафов в этой сфере еще нет, по прогнозам лишь 10% компаний соответствуют требованиям GDPR. Но риск получения штрафа в размере 4% годового дохода – значительный стимул для внедрения изменений. Так что рекомендуем обратить внимание на GDPR и привести свои дела в порядок. В любом случае, это упростит и автоматизирует вашу работу.

Хотите узнать больше? Приходите на наш однодневный интенсив, на котором мы разберем все вопросы о GDPR. Подробнее здесь.

Читайте также: GDPR: что изменилось и есть ли эффект?

Pin It on Pinterest