Организации часто передают персональные данные сторонним поставщикам услуг (обработчикам данных) для различных целей, таких как облачный хостинг, email-маркетинг или аналитика. В соответствии с GDPR вы несете ответственность за то, как эти третьи стороны обрабатывают данные. У вас должны быть заключены
соглашения об обработке данных (DPA), Управление сторонними в которых четко прописаны обязательства третьих сторон в отношении защиты и безопасности данных. Прежде чем передавать какие-либо персональные данные, проведите
комплексную проверку всех сторонних поставщиков, чтобы убедиться в их соответствии требованиям GDPR.
Разработка плана реагирования на утечку данных
Несмотря на все усилия, утечки данных могут произойти. GDPR обязывает контролеров данных уведомлять соответствующий надзорный орган (а в некоторых случаях и затронутых лиц) «без неоправданной задержки»
— как правило, в течение 72 часов с момента получения информации об утечке. Вашей организации необходим надежный план Данные телемаркетинга реагирования на утечку данных, в котором подробно описаны немедленные действия,
внутренние протоколы связи, процедуры уведомления и шаги по смягчению последствий.Ваша база данных должна иметь возможности ведения журнала, которые помогут определить масштаб и последствия любого нарушения.
Документирование вашей деятельности по обработке данных (отчетность)
Принцип «подотчетности» требует от организаций продемонстрировать соблюдение всех принципов GDPR. Это означает ведение подробных записей о вашей деятельности по обработке данных, включая сведения о
типах обрабатываемых данных, целях обработки, правовых основаниях, сроках хранения и принятых мерах безопасности. Эта документация, чтобы проверить ваши листинги в более чем 50 ведущих онлайн часто в форме Отчета о действиях по обработке данных (ROPA), имеет
решающее значение для внутреннего управления и для подтверждения соответствия требованиям надзорных органов в случае аудита.
Проведение оценок воздействия на защиту данных (DPIA)
Для некоторых видов обработки с высоким уровнем риска (например, крупномасштабная обработка конфиденциальных данных, систематический мониторинг общественных мест) GDPR требует проведения
оценки воздействия на защиту данных (DPIA). DPIA выявляет и минимизирует риски для прав на неприкосновенность частной списки Белиза жизни отдельных лиц до начала обработки. Даже если это не является
обязательным, проведение DPIA для значительных новых процессов обработки данных является передовой практикой, демонстрирующей проактивный подход к управлению рисками и защите конфиденциальности.
Обучение и повышение осведомленности сотрудников
Ваша база данных, соответствующая GDPR, настолько сильна, насколько сильны люди, которые с ней взаимодействуют. Регулярное и всестороннее обучение всех сотрудников, которые работают с персональными
данными, имеет важное значение. Это обучение должно охватывать принципы GDPR, права субъектов данных, внутренние политики обработки данных и то, как выявлять и сообщать об утечках данных. Формирование
культуры конфиденциальности данных в вашей организации гарантирует, что каждый сотрудник понимает свою роль в защите персональных данных.