КОНСУЛТИРАНЕ И ВНЕДРЯВАНЕ НА GDPR (GENERAL DATA PROTECTION REGULATION)

Внедряване на GDPR (Регламент 2016/679)

 

ЕТАПИТЕ НА КОНСУЛТИРАНЕ ПО GDРR ИЗИСКВАНИЯТА МОГАТ УСЛОВНО ДА БЪДАТ РАЗДЕЛЕНИ НА: 
  • GAP анализ и оценка на текущото ниво на съответствие; 
  • Изготвяне на правила и процедури за изпълнение на изискванията на GDРR;
  • Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с регламента;
  • Наблюдение и мониторинг на съответствието на GDРR.
GAP анализ
По време на GAР анализa се извършва оценка на текущото ниво на съответствие на процесите в организацията към изискванията на GDРR. Нашите консултанти участват както в извършването на оценка на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. Критериите за оценка са както изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, така и използването на контролни механизми и добри практики, заложени в ISO 27001 и ISO 27002. Целта на GAP анализа е да се установи дали възприетите практики и използваните ИТ средства осигуряват правото на собствениците на личните данни да:
  • Получават навременна информация относно използването на данните;
  • Преглеждат и коригират личните си данни;
  • Получават правото да бъдат "забравени" (изтриват личните си данни от регистър/система/архив и т.н.);
  • Ограничават обработката на личните си данни;
  • Бъдат уведомявани при компрометиране (нерегламентиран достъп, използване, променяне или изтриване) на личните им данни или ограничаване на тяхното обработване;
  • Изискват пренасяне на данните си към друг администратор на лични данни
  • Възразяват при несъгласие с начина на обработка/използване на техните данни;
  • Могат да спрат вземането на решения, основаващи се единствено на автоматизирано обработване, включващо профилиране.
Конкретните анализи и оценки, които се извършват са преди всичко в областта на:
  • Организацията и отчетността при обработката и използването на лични данни;
  • Степента на централизация на защитата на данни;
  • Нивата на защита на данните;
  • Нивото на съгласуваност на данните;
  • Правата при управление на данните;
  • Механизмите за известяване при компрометиране на данните;
  • Действията при международни трансфери на данни;
  • Ролите и отговорностите по защита на данните;
  • Общото ниво на съответствие с GDРR.
 
Изготвяне на правила и процедури за изпълнение на изискванията на GDPR
На база на извършения GAP анализ, консултантският екип:
  • Предлага необходимите промени в бизнес процесите, свързани със събиране и обработка на лични данни;
  • Предлага необходимите промени в ИТ средата (мрежи, системи, бази данни и т.н.) за обработка на данни;
  • Предлага подходящи контролни механизми при работа с данните;
  • Разработва необходимия набор от правила и процедури в съответствие с GDРR, които да бъдат внедрени в организацията;
  • Разработва механизми за отчетност и известяване.
При разработване на правилата и процедурите се спазват изискванията на РЕГЛАМЕНТ (ЕС) 2016/679, както и добри практики, залегнали в ISO 27001 и ISO 27002.
 
Съдействие при внедряване на правилата и процедурите за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с регламента
По време на внедряване на правилата и процедурите за изпълнение на изискванията на GDPR, консултантите извършват:
  • Обучение – на ключови служители, ангажирани с процеса на внедряване и изпълнение на новите изисквания;
  • Консултиране – помощ при внедряване на новите/променени бизнес процеси, вътрешните контроли, организацията на работа и отчетност;
На този етап участието на консултанта може да намали чувствително вложените усилия, да повиши нивото на разбиране и прилагане и да съкрати времето за изпълнение, както и да даде реална предварителна оценка на резултатите от завършения процес по внедряване на GDPR.
 
Наблюдение и мониторинг на съответствието на GDPR
Успешното внедряване на изискванията на GDPR може да бъде установено чрез провеждането на вътрешен одит на бизнес процесите, свързани с обработка и администриране на лични данни. Одитът се провежда на извадков принцип, като се проследява целия жизнен цикъл на произволно избрани лични данни.
 
Гаранция за успешното поддържане на изискванията е внедряването на процедура за постоянен мониторинг и наблюдение на процесите по управление на личните данни. В рамките на годишната програма за одити трябва да се добавят дейности по анализ и оценка на дизайна и изпълнението на всички дейности и контролни механизми, свързани с поддържането на GDPR.
В зависимост от дейността и структурата на организацията, при планиране на одита се обхващат в една или друга степен следните области:
  • Лични данни – идентификация, поверителност, собственици, покритие;
  • Характер и обхват на дейността – администратор, териториални единици;
  • Законово основание за администриране на лични данни – обем, характер;
  • Прозрачност на процеса по обработка и администриране;
  • Ниво на защита на данните и отчетност;
  • Спазване на правата на собственика на лични данни;
  • Ниво на сигурност на данните;
  • Мониторинг и реакция при пробив (изтичане, промяна, изтриване) на данни;
  • Практики при международен трансфер на данни извън ЕС;
  • Използване на подизпълнители при администрирането.

КОНСУЛТИРАНЕ И ВНЕДРЯВАНЕ НА GDPR (GENERAL DATA PROTECTION REGULATION)



ЕТИКЕТИ

Новини

18 Февруари 2019
Започна приемането на заявления за финансиране на сертификация по стандарта GLOB...
23 Януари 2019
Днес (23.01.2019) в Народното събрание бе приет на второ четене Законопрое...

Полезно

12 Февруари 2019
За да бъдат предоставени гаранции за ефективността на механизмите за контрол на ...
05 Февруари 2019
Експертите от индустрията смятат, че годишните загуби от киберпрестъпления могат...