G Guida alla conformità DPR

N novantanove sezioni di linguaggio legale sulla protezione dei dati sono sufficienti per smorzare gli spiriti di tutti tranne lo specialista più entusiasta, per non parlare delle tante piccole e medie imprese che cercano di raggiungere il stessa cosa senza un responsabile della protezione dei dati dedicato.

Ma non preoccuparti. Non sei solo.

Ogni organizzazione che controlla o elabora i dati all’interno dell’UE deve diventare conforme al GDPR. Quando la legislazione entrerà in vigore il 25 maggio, ci saranno molte persone nella tua stessa posizione.

Stiamo facendo quel viaggio qui al Nilo. Ecco un riepilogo di ciò che abbiamo imparato nel nostro percorso di conformità al GDPR. Ovviamente, non è un consiglio legale, ma si spera che possa aiutarti con il tuo. Se non l’hai già fatto, leggi GDPR for Dummies, è un articolo che abbiamo scritto l’anno scorso che ti fornirà una buona introduzione contestuale al GDPR, l’impatto per le aziende e alcuni link utili.

Cosa stiamo cercando di ottenere?

Non c’è modo di evitarlo, devi sapere cosa è necessario per essere conforme al GDPR. Ciò include processi e politiche sui nuovi diritti per le persone di cui conservi o elabori i dati (soggetti interessati).

Fortunatamente, ci sono molti pratici riassunti del GDPR online che spiegano questi diritti e come la nuova legislazione differisce dal suo predecessore, il Data Protection Act. Se utilizzi una fonte online affidabile, possono essere molto utili.

Le cose buone da fare in questa fase sono:

La legislazione contiene 99 articoli, ma solo un terzo circa richiede un’azione specifica. (Potresti già avere alcuni di questi in atto)

Dove inizia il viaggio?

Quindi, hai guardato dove stai andando. Ora devi sapere da dove parti, in modo da poter pianificare il tuo percorso.

Per questo, abbiamo effettuato una verifica dei dati. Abbiamo esaminato quali dati personali abbiamo acquisito e come li abbiamo registrati.

È probabile che i diversi reparti utilizzino diversi tipi di dati personali, quindi dovrai esplorare con ciascuno di essi esattamente quali dati contengono. In questo modo hai anche la possibilità di spargere la voce sul GDPR, così tutti sanno che sta arrivando.

Dalle informazioni raccolte come parte di questo controllo, è possibile creare un “inventario dei dati”. Questo diventerà uno strumento molto utile, non solo per diventare conforme, ma per assisterti con le domande relative al GDPR in futuro.

Suggeriamo i seguenti contenuti minimi per il tuo inventario dei dati:

Una volta che hai il tuo inventario (scarica il nostro pratico modello di inventario dei dati GDPR), fungerà da facile punto di riferimento per i dati in tuo possesso, come li hai ottenuti e quindi come dovrebbero essere utilizzati.

Sarà uno strumento utile per qualcosa di più del semplice GDPR. Aiuterà anche la tua organizzazione a trovare facilmente i dati in futuro, il che potrebbe semplificarti la vita se le richieste degli interessati iniziassero ad arrivare.

Quali modifiche devi apportare? – Sette aree di interesse

Ogni organizzazione dovrà apportare modifiche diverse a seconda di quali dati personali ha archiviato e in quale forma. Delineato di seguito è rilevante per un’azienda come Nile.

Applicando il nuovo inventario dei dati e la conoscenza di ciò che richiede il GDPR, puoi mappare ciò che deve essere fatto.

1. Nuovi processi

Probabilmente il punto di partenza più semplice è con i nuovi diritti per gli interessati introdotti dal GDPR. Al momento potresti non avere un processo o una politica in atto. I processi da valutare includono:

2. Dichiarazioni sulla privacy e moduli di consenso

Quest’area è stata davvero rafforzata. Potrebbe essere necessario rivedere il tuo attuale processo di acquisizione del consenso. Il tuo inventario di dati dovrebbe ora dirti dove attualmente acquisisci i consensi. Vale la pena esaminarli e considerare se è necessario aggiungere nuove informative sulla privacy per ottenere il consenso per l’acquisizione dei dati.

Tutto questo ha un evidente impatto sulle pratiche di marketing standard, qualcosa su cui Nile sta lavorando in questo momento.

3. Contratti

Dovrai anche pensare ai tuoi contratti, in particolare per i contratti che comportano l’elaborazione dei dati al di fuori dell’UE. Il GDPR è integrato in questi contratti? Il tuo inventario dei dati dovrebbe rendere più facile vedere quando condividi i dati al di fuori dell’UE.

Pensa a come includi i requisiti di conformità al GDPR in questi contratti. Sebbene sia la legislazione dell’UE, puoi comunque essere ritenuto responsabile delle azioni dei tuoi appaltatori al di fuori dell’UE se violano il GDPR.

4. Dati speciali / sensibili

I dati speciali includono informazioni quali etnia, preferenze politiche, credenze religiose, appartenenza a sindacati, dati genetici, dati biometrici, salute e orientamento sessuale.

Il tuo inventario dei dati dovrebbe anche mostrarti gli eventuali dati speciali in tuo possesso. Al fine di elaborare lecitamente dati speciali, è necessario identificare la base legale per l’elaborazione dei dati (come fai con tutti i dati in tuo possesso), ma hai anche bisogno di una “condizione” separata per l’elaborazione di dati di categorie speciali. Ci sono 10 condizioni nell’articolo 9, quindi utilizza quella che si applica a te.

5. Politiche

Dovrai anche rivedere le tue attuali politiche di protezione dei dati e aggiornarle per riflettere la modifica al GDPR. Se a questo punto sono stati creati nuovi processi, questi dovranno essere supportati da politiche su quando e come questi nuovi processi vengono implementati.

6. Programma di conservazione

Il tuo inventario dei dati mostrerà i dati in tuo possesso. Perché non utilizzarlo per indicare per quanto tempo devono essere conservati i dati?

Garantire di non conservare i dati personali per un periodo più lungo del necessario significa che è molto meno probabile che violi il GDPR. Inoltre, può aumentare l’efficienza nella tua organizzazione in modo da non archiviare nulla inutilmente.

Stiamo creando un programma di conservazione poiché riteniamo che rappresenti una buona gestione dei record.

Suggerimento : questa è una grande opportunità per una buona pulizia dei dati che non ti servono più.

7. Sensibilizzazione

Quindi, stai lavorando duramente per creare nuove politiche, aggiornare le procedure e in generale definire i tuoi requisiti di conformità al GDPR. Brillante. Ma non dimenticare di tenere informato il resto della tua organizzazione.

Sono loro che sanno come utilizzano i dati personali. Continua il dialogo. È il modo migliore per assicurarti di avere tutto sotto controllo.

Dovrai anche fornire formazione / guida su eventuali nuovi processi che hai creato. Non ha senso averli se nessuno li segue.

Un modo in cui ci siamo riusciti a Nile è stato quello di organizzare una sessione di pranzo sul GDPR, i cambiamenti che stiamo apportando ed esplorare le aree che potremmo aver trascurato con il team più ampio. Un buon consiglio è registrare la sessione e condividerla tramite i canali di comunicazione interni in modo che i membri del team assenti e i futuri membri del team possano condividere la stessa conoscenza.

E non limitarti a guardare internamente, fallo sapere anche ai tuoi clienti. Apprezzeranno che ti occupi dei loro dati in modo appropriato.

Siamo già arrivati?

Ancora con noi? Grande! Finora abbiamo trattato: inventario dei dati, nuovi processi e politiche di supporto, un programma di conservazione per semplificare i nostri dati e il team è stato informato. Abbiamo finito tutti?

Bene, riteniamo che tutto questo lavoro ti garantirà di soddisfare gli standard stabiliti nel GDPR, ma non fidarti solo delle nostre parole. L’Information Commissioner’s Office (ICO) dispone di un pratico controllo dello stato di salute che puoi eseguire. Metterà in evidenza tutto ciò che ti sei perso in preparazione per il 25 maggio 2018.

Buona fortuna

Quindi, buona fortuna per il tuo viaggio. Può sembrare un lavoro ingrato, ma la portata e la velocità con cui ora raccogliamo i dati personali rende una protezione avanzata un must.

Non perdiamo di vista la migliore esperienza del cliente che possiamo creare disponendo dei dati giusti e utilizzandoli nel modo giusto, ma questa è un’altra storia per i miei colleghi di progettazione dei servizi.

Ciò che abbiamo riscontrato anche durante questo processo è la sensazione piacevole e rassicurante che provi quando vedi quanto i tuoi colleghi prendono sul serio la protezione dei dati personali.

E se ti capita di trovare qualcosa che deve essere migliorato, ora è il momento perfetto per farlo.

Ci auguriamo che questa sia stata una guida utile, in caso di domande, Frankie è più che felice di illustrarti il ​​suo approccio in modo più dettagliato, Frankie@nilehq.com

Non dimenticare di leggere il nostro articolo GDPR per i manichini o se desideri maggiori informazioni sulle opportunità del GDPR, scarica il nostro white paper di seguito.

Originariamente pubblicato su nilehq.com.