GDPR GAP Analysis: Τι είναι και τι περιλαμβάνει μια ανάλυση ελλείψεων στο πλαίσιο του GDPR
GDPR GAP Analysis: Τι είναι;
Μια μελέτη ανάλυσης ελλείψεων (GDPR GAP Analysis) στο πλαίσιο του GDPR είναι μια τεχνική και αιτιολογημένη αναλυτική έκθεση ελλείψεων, ορθών πρακτικών και προτάσεων βελτίωσης συμμόρφωσης με τον Ευρωπαϊκό Κανονισμό Προστασίας Προσωπικών Δεδομένων 679/2016 (ή αλλιώς GDPR) ( GDPR Regulation - ST-5419-2016 (EL) (1995 downloads) ).
GDPR GAP Analysis: Τι περιλαμβάνει μια έκθεση ανάλυσης ελλείψεων
Μια έκθεση ανάλυσης ελλείψεων στο πλαίσιο του GDPR προτείνουμε να ευθυγραμμίζεται με το πρότυπο ISO 27001.
Η ανάλυση κενών και ελλείψεων καλύπτει τις ακόλουθες διαδικασίες και δραστηριότητες:
- Γενική Διοίκηση Πληροφορικής, Προστασία Δεδομένων και Θέματα Ασφαλείας
- Αξιολόγηση κινδύνου τεχνολογιών πληροφορικής και DPIA
- Θέματα δεδομένων
- Δικαιώματα Δεδομένων Φυσικών Προσώπων / Δικαίωμα στη λήθη
- Διαδικασίες συναίνεσης του υποκειμένου δεδομένων
- Διαδικασία Ενημέρωσης Ενδιαφερομένων.
- Διαδικασία προσωπικών δεδομένων και χαρτογράφηση δεδομένων
- Υπεύθυνος προστασίας δεδομένων
- Εγγραφή δεδομένων
- Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών GDPR (ISMS)
- Επεξεργασία δεδομένων προσωπικού χαρακτήρα από τρίτους
Η ανάλυση ελλείψεων Προστασίας Δεδομένων GDPR εντάσσεται στις επιχειρησιακές διαδικασίες και δραστηριότητες και περιλαμβάνει συνήθως:
-
Λίστα ελέγχου για τις πολιτικές απορρήτου και τις διαδικασίες
- Η συμμόρφωση με το GDPR απαιτεί οι πληροφορίες που παρέχονται σε όλους τους ενδιαφερόμενους να είναι απλές, σαφείς και κατανοητές. Βοηθάμε στην τεκμηρίωση των πολιτικών και διαδικασιών που είναι διαφανείς, άμεσα διαθέσιμες και τεκμηριωμένες με τρόπο που διευκολύνει την αυτοματοποίηση.
-
Χάρτης πορείας δεδομένων και λογοδοσία
- Όταν εξασφαλίζονται σαφείς πολιτικές και διαδικασίες για να αποδειχθεί η συμμόρφωση με τα πρότυπα GDPR και η δομή για τη δημιουργία μιας κουλτούρας παρακολούθησης, επανεξέτασης και αξιολόγησης των συστημάτων επεξεργασίας δεδομένων. Ο στόχος είναι να ελαχιστοποιηθεί η επεξεργασία δεδομένων και η διατήρηση δεδομένων που βασίζονται σε διασφαλίσεις και ελέγχους και ισορροπίες.
-
Προστασία προσωπικών δεδομένων από τον σχεδιασμό και από προεπιλογή
- Η εφαρμογή προστασίας της ιδιωτικής ζωής από το σχεδιασμό μπορεί να αποδείξει τη συμμόρφωση μας και να δημιουργήσει ανταγωνιστικό πλεονέκτημα. Διαβεβαιώνουμε ότι το προσωπικό και τα ενδιαφερόμενα μέρη εκπαιδεύονται για να κατανοήσουν τις ευθύνες και τις υποχρεώσεις τους να αναλάβουν την κυριότητα. Οι εκτιμήσεις επιπτώσεων της ελεγχόμενης αξιολόγησης των προσωπικών δεδομένων θα παράσχουν μια πλατφόρμα για την ανασκόπηση επικίνδυνων διαδικασιών ή δραστηριοτήτων και για την αντιμετώπιση συγκεκριμένων προβληματισμών
-
Ενσωμάτωση προστασίας δεδομένων
- Το απόρρητο δεδομένων πρέπει να ενσωματώνεται σε όλες τις διαδικασίες, υπηρεσίες ή προϊόντα που είναι έτοιμα προς παράδοση με δομημένη και συστηματική αξιολόγηση και επικύρωση. Η συγκατάθεση του υποκειμένου δεδομένων απαιτεί έννομο συμφέρον για την επεξεργασία δεδομένων που δεν παρακωλύεται από το όφελος του υποκειμένου των δεδομένων. Η συγκατάθεση είναι ένας τρόπος για τη νομιμοποίηση της δραστηριότητας επεξεργασίας δεδομένων και φέρει το βάρος της απόδειξης για τη λήψη επαρκούς συναίνεσης.
-
Υποχρεώσεις του επεξεργαστή δεδομένων
- Το GDPR επιβάλλει άμεσες υποχρεώσεις στους μεταποιητές που πρέπει και να ενσωματωθούν στις πολιτικές, τις διαδικασίες και τις συμβάσεις του οργανισμού. Οι ενδιαφερόμενοι και οι πελάτες θα απαιτούν τεκμηρίωση ότι οι υπηρεσίες μας είναι συμβατές με τις απαιτήσεις του κανονισμού GDPR. Η μελέτη του κατά πόσο η συμβατική τεκμηρίωση είναι επαρκής για υπηρεσίες επεξεργασίας δεδομένων από τρίτους είναι κρίσιμη για τον προσδιορισμό και την τεκμηρίωση της συμμόρφωσης με το GDPR.
-
Τα δικαιώματα των υποκειμένων των δεδομένων
- Τα υποκείμενα των δεδομένων μπορούν να ασκήσουν τα δικαιώματά τους στη φορητότητα των δεδομένων, να διαγράψουν και να αποσύρουν τη συγκατάθεσή τους για την αποθήκευση και επεξεργασία δεδομένων με νόμιμους λόγους για τη διατήρησή τους. Το βάρος της απόδειξης για να αποδειχθεί ότι υπάρχουν βάσιμοι λόγοι για να υπερισχύσουν τα συμφέροντα των υποκειμένων των δεδομένων με μη ρεαλιστικές προσδοκίες για τα δικαιώματά τους GDPR.
-
Διασυνοριακές μεταφορές δεδομένων
- Οι διεθνείς μεταφορές δεδομένων, συμπεριλαμβανομένων των μεταβιβάσεων εντός ομίλου, απαιτούνται για να εξασφαλιστεί μια νόμιμη βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε πολυάριθμες δικαιοδοσίες, οι οποίες δεν αναγνωρίζονται ως έχουν επαρκή ρύθμιση για την προστασία των δεδομένων. Δεν πρόκειται για νέα ανησυχία, αλλά οποιαδήποτε παράλειψη συμμόρφωσης θα υπόκειται σε βαριά πρόστιμα. Εξετάστε τη θέσπιση δεσμευτικών εταιρικών κανόνων για τη διευκόλυνση των ενδοκοινοτικών μεταβιβάσεων δεδομένων
-
Προετοιμασία για παραβιάσεις ασφαλείας δεδομένων
- Εγκαταστήστε σαφείς πολιτικές και καλές πρακτικές για να διασφαλίσετε ότι μπορείτε να αντιδράσετε γρήγορα σε οποιαδήποτε παραβίαση δεδομένων και να ενημερώσετε έγκαιρα, όπου απαιτείται.