Отговорете на въпросите „Как?“ и „Къде?“ съхранявате личните данни, за да спазите GDPR

Прозрачността и отчетността са основни принципи в GDPR. Каквито и стъпки да предприемете, трябва да си зададете въпросите как пазите личните данни, с които работите и къде съхранявате информацията. При всички случаи ще трябва да инвестирате и средства, за да изпълните изискванията. Можете да изпратите на обучение служител, които ще се заеме с функциите на длъжностното лице за защита на данните, или да наемете човек с познания за GDPR и промените, които той налага.

Този служител ще организира оценката на рисковете при обработването на личните данни, защото регламентът възприема именно този подход.

Според чл.32, ал. 2: При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

Техническите и организационни методи, необходими за защита на данните, следва да бъдат пропорционални на риска, който някои операции по обработка на данни носят. Всяка организация или фирма трябва да оцени този риск и да разработи и приложи адекватни мерки за намаляването или премахването му.

Затова е важно да се извърши GDPR анализ на всичките ви бизнес дейности и да се открият всички пропуски или проблеми, които трябва да се премахнат. Започнете с анализ на потоците от данни, как е организиран достъпът до информацията, имате ли договори с трети страни, какви са съществуващите процедури и документи за гарантиране опазването на служебната тайна и др. Този анализ ще покаже какви ще са вашите следващи действия.

Разделете данните, които се покриват от GDPR от другите данни. Проверете дали не събирате от специалните категории лични данни. Определете кой да има достъп до данните.

След това трябва да приложите подходящите технически и организационни мерки, за да защитите личните данни. Дали да не изолирате компютрите, в които има чувствителни данни, от Интернет? Дали да не спрете възможността да се запазва изображението на монитора – така широко използваното PrintScreen?

GDPR, Съображение 78: Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.