Pasiklydus sudėtinguose teisiniuose tekstuose, svarbu atsakyti į pagrindinį klausimą: ką reikia padaryti iki 2018 m. gegužės 25 d.?
1. Duomenų apsaugos auditas
ES Bendrasis duomenų apsaugos reglamentas nustato detalius reikalavimus, kaip rinkti, naudoti ar saugoti bet kokią informaciją apie klientus, darbuotojus, tarnautojus, piliečius, reklamos adresatus, interneto puslapio lankytojus, interesantus, pacientus, studentus, kitus žmones ar naudoti vaizdo kameras.
Duomenų apsaugos auditas – pirmas žingsnis link tvarkos šioje srityje.
Bendrovės turi identifikuoti, kokią informaciją apie žmones yra surinkusios ir renka. Svarbu surinkti ir peržiūrėti dokumentus, kuriuose minima duomenų apsauga.
Reikia atsakyti į klausimus, kurie nauji reikalavimai yra aktualūs konkrečiai bendrovei, su kuriais viskas tvarkoje, o kurios vietos kelia problemų (pvz., masinis el. laiškų siuntimas arba visuotinis darbuotojų sekimas).
Duomenų apsaugos auditas turėtų baigtis veiksmų planu.
2. Duomenų apsaugos pareigūnas
ES Bendrasis duomenų apsaugos reglamentas daugumą bendrovių ir įstaigų įpareigoja paskirti už duomenų apsaugą atsakingą darbuotoją arba pasamdyti kompetentingą išorės ekspertą.
Duomenų apsaugos pareigūnas – tai žmogus, atsakingas už visus duomenų apsaugos klausimus organizacijoje.
Duomenų apsaugos pareigūnas turėtų būti paskirtas kuo anksčiau, kad suvaldytų kitus žingsnius. Abejojantys, ar reikia duomenų apsaugos pareigūno, tegul įsivaizduoja save „Grožio chirurgijos“ arba „WannaCry“ aukos vietoje arba konsultuojantis su Valstybine duomenų apsaugos inspekcija dėl kritinių technologijų.
Tada reikėtų pagalvoti, ar geriau tokiose situacijose atsidurti su duomenų apsaugos ekspertu, ar be jo.
3. Duomenų apsaugos politika ir procedūros
ES Bendrasis duomenų apsaugos reglamentas sukels problemų toms bendrovėms, kurios neturės politikos, kaip elgtis su asmens duomenimis kasdieninėje veikloje.
Turi būti nustatyti, ne tik popieriuje, principai, kaip vadovai, darbuotojai ir tiekėjai renka ir naudoja informaciją apie žmones, kad jiems nesukeltų diskomforto, finansinės žalos ar kitokių pavojų.
2018 m. gegužės 25 d. gaunate žmogaus prašymą patogiu formatu išeksportuoti jo pateiktą informaciją arba reikalavimą ją pamiršti. Jūsų IT sistemą nulaužia ir Jūsų duomenis viešina hakeriai. Diegiate naują klientų duomenų bazę.
Kaip elgtis? Kaip greitai ir kas turi reaguoti? ES Bendrasis duomenų apsaugos reglamentas nesukels rūpesčių, jeigu bendrovė turės procedūrą, kaip spręsti duomenų apsaugos klausimus.
4. Duomenų apsaugos dokumentai
Duomenų tvarkymo taisyklės, vaizdo stebėjimo taisyklės, sutikimų formos, interneto puslapių privatumo politikos, pranešimai apie slapukus, darbo ir paslaugų sutarčių nuostatos, sutartys su paslaugų teikėjais. ES Bendrasis duomenų apsaugos reglamentas reikalauja atnaujinti duomenų apsaugos dokumentus.
Sutikimai dėl duomenų naudojimo negali būti suplakti su darbo, paslaugų ir kitomis sutartimis. Sutikimai turi būti paprasti ir aiškūs.
Dokumentai ir pranešimai, kuriuos mato žmonės, turi detaliai aprašyti, kaip bendrovės naudoja ir saugo duomenis. Bendrovės turėtų turėti duomenų apsaugos sutarties formą IT, rinkodaros, finansų ir kitų paslaugų teikėjams, kurie mato bendrovių saugomus duomenis.
5. Darbuotojų apmokymas
Kad ES Bendrasis duomenų apsaugos reglamentas nebūtų teorija, darbuotojai ir tarnautojai turi žinoti apie naujuosius reikalavimus.
Technologijų, personalo, rinkodaros, klientų aptarnavimo, apskaitos, teisės ir kiti specialistai turėtų būti paprasta kalba apšviesti apie tai, kaip atpažinti asmens duomenis, ką su jais galima daryti, o ko ne.
