КОНСУЛТИРАНЕ И ВНЕДРЯВАНЕ НА GDPR (GENERAL DATA PROTECTION REGULATION)

Внедряване на GDPR (Регламент 2016/679)

 

ЕТАПИТЕ НА КОНСУЛТИРАНЕ ПО GDРR ИЗИСКВАНИЯТА МОГАТ УСЛОВНО ДА БЪДАТ РАЗДЕЛЕНИ НА: 
  • GAP анализ и оценка на текущото ниво на съответствие; 
  • Изготвяне на правила и процедури за изпълнение на изискванията на GDРR;
  • Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с регламента;
  • Наблюдение и мониторинг на съответствието на GDРR.
GAP анализ
По време на GAР анализa се извършва оценка на текущото ниво на съответствие на процесите в организацията към изискванията на GDРR. Нашите консултанти участват както в извършването на оценка на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. Критериите за оценка са както изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, така и използването на контролни механизми и добри практики, заложени в ISO 27001 и ISO 27002. Целта на GAP анализа е да се установи дали възприетите практики и използваните ИТ средства осигуряват правото на собствениците на личните данни да:
  • Получават навременна информация относно използването на данните;
  • Преглеждат и коригират личните си данни;
  • Получават правото да бъдат "забравени" (изтриват личните си данни от регистър/система/архив и т.н.);
  • Ограничават обработката на личните си данни;
  • Бъдат уведомявани при компрометиране (нерегламентиран достъп, използване, променяне или изтриване) на личните им данни или ограничаване на тяхното обработване;
  • Изискват пренасяне на данните си към друг администратор на лични данни
  • Възразяват при несъгласие с начина на обработка/използване на техните данни;
  • Могат да спрат вземането на решения, основаващи се единствено на автоматизирано обработване, включващо профилиране.
Конкретните анализи и оценки, които се извършват са преди всичко в областта на:
  • Организацията и отчетността при обработката и използването на лични данни;
  • Степента на централизация на защитата на данни;
  • Нивата на защита на данните;
  • Нивото на съгласуваност на данните;
  • Правата при управление на данните;
  • Механизмите за известяване при компрометиране на данните;
  • Действията при международни трансфери на данни;
  • Ролите и отговорностите по защита на данните;
  • Общото ниво на съответствие с GDРR.
 
Изготвяне на правила и процедури за изпълнение на изискванията на GDPR
На база на извършения GAP анализ, консултантският екип:
  • Предлага необходимите промени в бизнес процесите, свързани със събиране и обработка на лични данни;
  • Предлага необходимите промени в ИТ средата (мрежи, системи, бази данни и т.н.) за обработка на данни;
  • Предлага подходящи контролни механизми при работа с данните;
  • Разработва необходимия набор от правила и процедури в съответствие с GDРR, които да бъдат внедрени в организацията;
  • Разработва механизми за отчетност и известяване.
При разработване на правилата и процедурите се спазват изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, както и добри практики, залегнали в ISO 27001 и ISO 27002.
 
Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с регламента
По време на внедряване на правилата и процедурите за изпълнение на изискванията на GDPR, консултантите извършват:
  • Обучение – на ключови служители, ангажирани с процеса на внедряване и изпълнение на новите изисквания;
  • Консултиране – помощ при внедряване на новите/променени бизнес процеси, вътрешните контроли, организацията на работа и отчетност;
На този етап участието на консултанта може да намали чувствително вложените усилия, да повиши нивото на разбиране и прилагане и да съкрати времето за изпълнение, както и да даде реална предварителна оценка на резултатите от завършения процес по внедряване на GDPR.
 
Наблюдение и мониторинг на съответствието на GDPR
Успешното внедряване на изискванията на GDPR може да бъде установено чрез провеждането на вътрешен одит на бизнес процесите, свързани с обработка и администриране на лични данни. Одитът се провежда на извадков принцип, като се проследява целия жизнен цикъл на произволно избрани лични данни.
 
Гаранция за успешното поддържане на изискванията е внедряването на процедура за постоянен мониторинг и наблюдение на процесите по управление на личните данни. В рамките на годишната програма за одити трябва да се добавят дейности по анализ и оценка на дизайна и изпълнението на всички дейности и контролни механизми, свързани с поддържането на GDPR.
В зависимост от дейността и структурата на организацията, при планиране на одита се обхващат в една или друга степен следните области:
  • Лични данни – идентификация, поверителност, собственици, покритие;
  • Характер и обхват на дейността – администратор, териториални единици;
  • Законово основание за администриране на лични данни – обем, характер;
  • Прозрачност на процеса по обработка и администриране;
  • Ниво на защита на данните и отчетност;
  • Спазване на правата на собственика на лични данни;
  • Ниво на сигурност на данните;
  • Мониторинг и реакция при пробив (изтичане, промяна, изтриване) на данни;
  • Практики при международен трансфер на данни извън ЕС;
  • Използване на подизпълнители при администрирането.

КОНСУЛТИРАНЕ И ВНЕДРЯВАНЕ НА GDPR (GENERAL DATA PROTECTION REGULATION)



ЕТИКЕТИ

Новини

25 Септември 2018
ISO 50001:2018 "Системи за управление на енергията - изисквания с насоки ...
19 Септември 2018
Публикувана е новата версия на ISO / IEC 20000-1:2018 "Информацио...

Акценти

20 Август 2018
Защитата на сигурността на фирмената информация, независимо дали е чувствителна ...
02 Август 2018
Редица големи международни корпорации като Майкрософт са сертифицирали своите об...