Какво представлява съответствието с ОРЗД?

В един все по-взаимосвързан свят съответствието с ОРЗД се превърна в критичен приоритет за фирмите, които обработват лични данни, независимо къде работят. Въведен през 2018 г., ОРЗД е регламент в законодателството на ЕС, който се фокусира върху защитата и поверителността на личните данни за физически лица в рамките на Европейския съюз. Несъответствието с ОРЗД може да доведе до значителни санкции, което прави спазването на разпоредбите му от съществено значение за фирмите от всякакъв мащаб.

Основната цел на ОРЗД е да защитава личните данни и да предоставя на хората по-голям контрол върху личната информация онлайн. Обхватът на ОРЗД е обширен, обхващащ всяка фирма, която обработва лични данни на жителите на ЕС, независимо от физическото местоположение на фирмата.

Спазването на ОРЗД не е просто правно изискване,– то се превърна в наложително бизнес изискване. Организациите, които спазват ОРЗД, демонстрират ангажимент към поверителността на данните, който спомага за насърчаване на доверието към клиентите, служителите и партньорите. Съответствието също така помага на фирмите да избегнат значителни финансови загуби, свързани с пробиви в данните и несъответствие с предписанията на ОРЗД.

Общият регламент относно защитата на данните беше приложен на 25 май 2018 г., като замени Директивата за защита на данните 95/46/EО. Той е създаден в отговор на бързата цифровизация на данните и необходимостта от решаване на проблемите, свързани с поверителността на данните. Цялостната рамка на ОРЗД има за цел да подсили законите за защита на данните в целия ЕС.

Основната цел на ОРЗД е да защитава личните данни и да предоставя на физическите лица по-голям контрол върху тяхната информация онлайн. Обхватът на ОРЗД е обширен, обхващащ всяка фирма, която обработва личните данни на жителите на ЕС, независимо от физическото местоположение на фирмата.

Основни принципи
ОРЗД установи седем принципа за защита на данните, които организациите в ЕС или извършващите бизнес в ЕС трябва да следват:

1. законосъобразност, добросъвестност и прозрачност: Данните трябва да се обработват по начин, който е законосъобразен, честен и прозрачен.
2. Ограничение на целите: Данните трябва да се събират и използват само за конкретни цели.
3. Свеждане на данните до минимум: Събраните данни трябва да бъдат ограничени до това, което е необходимо.
4. Точност: Личните данни трябва да бъдат точни и поддържани в актуален вид.
5. Ограничение на съхранението: Личните данни не трябва да се съхраняват по-дълго от необходимото.
6. Цялостност и поверителност: Личните данни трябва да се обработват защитено, като се защитават срещу неупълномощена или незаконна обработка, случайна загуба или повреда.
7. Отчетност: Организациите трябва да могат да демонстрират съответствието си с всички тези принципи.

ОРЗД дава на гражданите на ЕС значителен контрол върху личните им данни, като установява ясни права за защита на поверителността им. ОРЗД предоставя на гражданите на ЕС няколко права върху личните им данни, включително:
 

• Правото да бъдете информирани: Физическите лица имат право да бъдат информирани за събирането и използването на личните си данни, включително подробности защо се събират, колко дълго ще бъдат запазени и с кого ще бъдат споделени.

• Правото на достъп: Физическите лица могат да поискат достъп до своите лични данни и да получат копие от тях, което им позволява да разберат как се обработват техните данни и от кого.

• Правото на коригиране: Ако някои лични данни са неточни или непълни, физическите лица могат да поискат корекция, за да се гарантира, че информацията им е точна и актуална.

• Правото на изтриване (право „да бъдеш забравен“): При определени обстоятелства физическите лица имат право да поискат изтриване на личните си данни, като премахнат информацията си от системите на организацията, ако вече не е необходима, или ако оттеглят съгласието си.

• Правото на ограничаване на обработването: Физическите лица могат да ограничат начина, по който се обработват личните им данни, особено ако оспорват точността им или ако изискват данните за правни претенции.

• Правото на преносимост на данните: Физическите лица могат да получат своите лични данни в структуриран, често използван и машинно четлив форма, както и да ги прехвърлят на друг администратор на данни, ако изберат.

• Право на възражение: Физическите лица имат право да възразяват срещу обработването на техните лични данни, особено ако се използват за директен маркетинг или ако имат конкретна ситуация, която гарантира поверителността.
  
  

Заедно тези права гарантират, че физическите лица имат ясна видимост и контрол върху личните си данни, което подсилва прозрачността и отчетността сред организациите. Отвъд тези права ОРЗД също така задава строги указания за това как организациите трябва да получават и управляват съгласие от физически лица, преди да бъдат обработвани данните им.

Изисквания за съгласие
ОРЗД изисква организациите да получават изрично съгласие от физическите лица, преди да събират и съхраняват техните данни. Това съгласие трябва да бъде свободно дадено, конкретно, информирано и недвусмислен, за да се гарантира, че физическите лица напълно разбират какво са се съгласили да събират.

В допълнение към указанията за съгласие, ОРЗД акцентира върху проактивни мерки за защита на данните. За дейности, свързани с високорискова обработка, организациите трябва да извършват оценки на въздействието върху защитата на данните, за да оценяват и смекчават потенциалните рискове за правата и свободите на физическите лица.

Оценки за въздействието на защитата на данни (DPIA)
За всички операции по обработка, които могат значително да повлияят на правата и свободата на физическите лица, оценката за въздействието на защитата на данните е задължителна. Това оценяване оценява рисковете, свързани с обработването на лични данни, и очертава мерки за смекчаване на тези рискове, защита на поверителността на физическите лица и гарантиране на съответствието.

Първоначална оценка и анализ на пропуските
Постигането на съответствие с ОРЗД започва с подробна оценка на текущите практики за данни в рамките на организацията. Това включва идентифициране и съпоставяне на всички дейности по обработка на данни, включително събиране, съхранение, споделяне и изтриване на данни. Целта е да се получава цялостно разбиране къде се намират личните данни, движението им в организацията и кой има достъп до тях.

След събиране на информация за текущите практики за обработка на данни, следващата стъпка е да извършите анализ на пропуските. Този анализ сравнява съществуващите практики на организацията спрямо изискванията на ОРЗД, за да определи областите, които не отговарят на изискванията. Често срещаните пропуски може да включват липсата на ясни записи за обработка на данни, недостатъчни механизми за съгласие или недостатъчни мерки за защита.

Отстраняването на тези пропуски е от решаващо значение за спазването на ОРЗД и често изисква сътрудничество между отделите, например „Информационни технологии“, „Правен“ и „Човешки ресурси“, за разработване на съгласувана стратегия за съответствие. Като разберат текущото положение на организацията, фирмите могат да създадат структуриран план за действие, за да отстранят пропуските в съответствието и да подсилят мерките за поверителност на данните.

Съпоставяне на данни и документация
Съпоставянето на данни е съществена част от съответствието с ОРЗД, тъй като предоставя ясно визуално представяне на начина, по който данните се преместват в рамките на организацията. Този процес включва проследяване на всяка част от личните данни от точката им на събиране до мястото за съхранение, обработка, споделяне, и в крайна сметка – изтриване. Чрез съпоставяне на потоците от данни организациите могат да идентифицират ненужни дейности по обработка на данни, да откриват силози за данни и да гарантират, че се събират и запазват само подходящи данни. Освен това съпоставянето на данни помага на фирмите да разкриват потенциални уязвимости в защитата, особено когато данните се прехвърлят между системи или към трети лица.

В допълнение към съпоставянето на потоци от данни ОРЗД изисква организациите да поддържат подробни записи за дейностите по обработка на данни. Тези записи трябва да включват целта на събирането на данни, правните основания за обработката, периодите на съхранение на данните и всички трети лица, участващи в обработката на данните.

Прилагане на правилата за защита на данните
Създаването на стабилни правила за защита на данните е от основно значение за спазването на ОРЗД. Тези правила описват как трябва да се обработват личните данни в рамките на организацията, като се покриват области като достъп, съхранение и защита на данните. Добре изработените правила за защита на данните предоставят указания за приемливо използване на данни, помагат на служителите да разберат ролята си за поддържане на защитата на данните и задават стандарта за това как организацията отговаря на задълженията си по ОРЗД. Ефективните правила за защита на данните трябва да бъдат достъпни, ясни и редовно преразглеждани, за да се гарантира, че те остават в съответствие с променящите се изисквания и технологии за поверителност на данните.

Прилагането на тези правила в цялата организация изисква обучение. Служителите на всички нива трябва да разбират принципите на ОРЗД и да бъдат насърчавани да следват най-добрите практики в обработката на данни. Като гарантират, че служителите са осведомени за важността на защитата на данните и за ролята си в защитата на личните данни, организациите могат да намалят риска от случайни пробиви в данните. Този структуриран подход не само поддържа съответствието с ОРЗД, но също така допринася за цялостната защита на данните – научете повече за защитата на данните на вашата фирма и за защитата на чувствителната информациязащита на данните.

За фирми в САЩ съответствието с ОРЗД води до допълнителни сложност. Възможно е организациите, базирани извън ЕС, да не са достатъчно запознати със стандартите по ОРЗД, а съответствието изисква спазване на строги задължения дори без физическо присъствие в Европа. Фирмите в САЩ, които обработват лични данни на гражданите на ЕС, трябва да определят представител на ЕС, да навигират в трансатлантическото законодателство за предаване на данни и да адаптират своите процеси, за да съответстват на високите стандарти на ОРЗД.

Налични са множество инструменти и ресурси за подпомагане на организации – включително базирани на САЩ фирми – в постигането и поддържането на съответствие с ОРЗД, например софтуер за защита на данните, контролни списъци за съответствие и програми за обучение.

За да осигурите текущо съответствие с ОРЗД, обмислете прилагането на следния контролен списък:


Редовни проверки и наблюдение:
Провеждане на редовни проверки на вашите дейности по обработка на данни, за да бъдат идентифицирани отклонения от изискванията на ОРЗД. Непрекъснато следене на вашите системи и мерки за защита на данните.

Програми за обучение и информираност:
Осигуряване на цялостно обучение на служителите относно съответствието с ОРЗД. Увереност, че всички служители разбират ролите и отговорностите си за защитата на личните данни.

Отговаряне на пробиви в защитата на данните и на глоби:
Създайте стабилен план за реакция при инциденти, за да се справяте незабавно с пробиви в данните и да намалите въздействието им. Бъдете готови да се справяте с потенциалните глоби и налагане на санкции за несъответствие.

В непрекъснато променящия се пейзаж на поверителността на данните постигането и поддържането на съответствие с ОРЗД може да се окаже сложна и ресурсоемка задача за фирми от всякакъв мащаб. Имайки предвид строгите разпоредби, предназначени да защитават личните данни на физическите лица, фирмите се нуждаят от надеждни решения, които поддържат усилията им за съответствие на всички нива. За да поддържа вашите усилия за постигане на съответствие, Microsoft предлага инструменти и решения, например Microsoft Purview и други решения за защита на данни, за да ви помага да навигирате ефективно в задълженията си за защита на данните.

Чрез интегрирането на тези инструменти фирмите могат да опростят своите процеси за съответствие, да автоматизират ключови задачи за отчитане и да подобрят цялостната защита на данните, като намалят рисковете, свързани с несъответствието.