Como resultado da crescente digitalização, o fluxo de dados também está aumentando o tempo todo. Como resultado, a conformidade com a proteção de dados e a segurança dos dados estão se tornando cada vez mais importantes para as empresas, o que também tem sido reconhecido pelos formuladores de políticas há vários anos.
Entretanto, o uso de tecnologias e processos automatizados leva a um risco para a proteção de dados. As empresas devem ser altamente conscientes durante a coleta, o armazenamento e o processamento de dados pessoais.
Uma estratégia de conformidade de proteção de dados pode ajudar a atender às exigências legais e fornecer uma visão geral do status das operações e processos de processamento. Este artigo mostrará quais exigências devem ser cumpridas sob a GDPR e como você pode proceder da melhor forma possível.
Você precisa de apoio na implementação dos requisitos de proteção de dados? Somos especialistas em direito de proteção de dados, TI e segurança e ficaremos felizes em aconselhá-lo sobre suas opções. Entre em contato a qualquer momento para uma consulta inicial sem compromisso.
Os fatos mais importantes em resumo
- Conformidade significa o integração de diretrizes na empresa para o cumprimento das exigências legais.
- Parte de tal conformidade corporativa é também a proteção de dados, cujo principal objetivo é proteger os dados pessoais.
- A conformidade com a proteção de dados ajuda a integrar estruturas e processos na empresa, que trabalham em conjunto para formar um sistema de gerenciamento de conformidade, permitindo assim o cumprimento do GDPR.
- A proteção de dados também desempenha um papel em outras medidas de conformidade. Para isso, gerentes de conformidade e responsáveis pela proteção de dados trabalhar em estreita colaboração.
Definição: Conformidade da proteção de dados
O termo conformidade é entendida como a adesão a todas as leis e diretrizes relevantes para as empresas. Isto inclui normas tanto nacionais quanto nacionais. nível internacional (aqui, especialmente a legislação da UE). Além de aplicável normas de direito comercial e empresarial, isto inclui criminal e leis de proteção de dados. Nos países da UE, o GDPR é particularmente importante.
Denominado gerentes de conformidade verificar se a conduta da empresa está de acordo com a lei em todas as áreas de negócios - desde exigências da lei trabalhista no departamento de RH até práticas de faturamento em vendas e proteção de dados interdepartamentais. Como parte de gestão da privacidade dos dados, são criados processos que são necessários para implementar e garantir os requisitos essenciais de privacidade de dados no planejamento, configuração e operação do processamento de dados.
Medidas eficazes para proteger os dados pessoais são necessárias para garantir que a privacidade dos dados na empresa esteja de acordo com a lei. Isto envolve dados explicitamente sensíveis que afetam os direitos das pessoas físicas.
É bom saber: Os dados sensíveis da empresa são principalmente irrelevantes para as normas legais. Mesmo que as empresas estejam interessadas em proteger segredos (tais como segredos empresariais), estes não desempenham um papel na implementação do GDPR. A GDPR - um padrão uniforme de proteção de dados a nível da UE - substituiu as leis nacionais de proteção de dados em maio de 2018. A GDPR deve, portanto, orientar qualquer pessoa que queira atender às exigências legais.
Conformidade da proteção de dados significa adesão aos regulamentos de proteção de dados nas empresas. O objetivo central é proteger os sujeitos dos dados, evitar riscos de responsabilidade para empresas e prevenir danos à sua imagem devido a vazamentos de dados e processamento de dados não autorizado. Assim, a empresa segurança dos dados impacta diretamente em sua reputação.
Devido ao avanço da digitalização e dos processos comerciais modernos, um estratégia de conformidade só é possível considerando o GDPR. Um sistema de gerenciamento de conformidade de proteção de dados é, portanto, necessária, que deve ser continuamente monitorada e mais desenvolvida após a implementação.
Conformidade da proteção de dados sob o GDPR
A GDPR exige que o processamento de dados pessoais seja organizado para que as empresas possam demonstrar o cumprimento das exigências legais a qualquer momento (os chamados responsabilidade, Artigo 5 (2) GDPR).
Isto se refere a todos os princípios de processamento de dados consagrados na lei:
- Licitude, processamento de boa fé, transparência
- Princípio de limitação de propósitos
- Minimização de dados
- Exigência da precisão dos dados
- Princípio de limitação de armazenamento
- Integridade e confidencialidade
As empresas devem pesar o que medidas que eles podem levar para atender a requisitos específicos. Outros fatores como as possibilidades técnicas, custos, tipo e escopo do processamento de dados e a gravidade do risco também devem ser considerados. O objetivo é minimizar o fluxo de dados e proteger os direitos das pessoas em questão.
Implementar estes medidas técnicas e organizacionais em sua empresa para monitorá-los continuamente e melhorá-los, se necessário. Em muitos casos, a visão neutra de um funcionário externo de proteção de dados identifica imediatamente erros típicos ou processos ineficientes.
Entre outras coisas, você deve manter um registro de atividades de processamento (Art. 30 GDPR). A criação ou manutenção regular deste registro é demorada, mas permite alcançar a longo prazo uma conformidade de proteção de dados direcionada e eficaz.
Para alguns processos, você também deve conduzir um avaliação do impacto da proteção de dados (Art. 35 GDPR). Com a abundância de obrigações de proteção de dados, ela pode ajudar a contratar um responsável pela proteção de dados, o que é até obrigatório em alguns casos (Art. 37 GDPR).
Além disso, os mecanismos devem ser integrados para informar à autoridade fiscalizadora competente dentro de 72 horas no caso de uma violação da proteção de dados (Art. 33 GDPR). Além disso, pode ser necessário notificar os indivíduos afetados pelo violação de dados (Art. 34 GDPR). Em geral, as empresas devem cooperar e manter intercâmbios com as autoridades de supervisão competentes e os sujeitos dos dados.
PIBR: Direitos do sujeito dos dados de importância central
As empresas também devem observar o direitos dos titulares dos dados (Art. 12-22 GDPR). Estes incluem, por exemplo:
- o dever de informar
- o dever de esclarecimento sobre a coleta de dados
- a revogação de consentimento
- o direito de informações
- o direito de exclusão de dados
- o direito de portabilidade de dados
Os sujeitos dos dados também devem ser capazes de contatar sua empresa o mais rápido possível e encontrar uma pessoa de contato competente responsável pelas questões de proteção de dados na prática. O Portal de privacidade Priverion é uma ferramenta útil a este respeito.
Gestão de conformidade de privacidade de dados para empresas
Antes de começar a implementar leis de proteção de dados e incorporar medidas apropriadas em seus processos, você deve fazer um balanço da situação. Isto envolve uma análise minuciosa do status quo e a análise do status atual de sua conformidade com a proteção de dados.
Veja como você pode proceder:
- Identificar e documentar os documentos existentes operações de processamento de dados (você pode criar um registro de atividades de processamento simultaneamente).
- Revisar a organização existente para eficiência e conformidade legal
- Sujeitar os processos internos da empresa a um análise de risco
O ideal é que seu inventário resulte em uma necessidade de adaptação, que agora pode ser decomposta em menores, individuais passos de ação e depois implementadas. É essencial definir e delinear responsabilidades claramente e documentar prazos.
Na maioria dos casos, o escopo das medidas faz com que seja inevitável priorizar mudanças específicas: Isto deve envolver a análise de quais áreas representam o risco mais significativo e onde a probabilidade de ocorrência de uma violação da proteção de dados é maior.
Neste ponto, um Avaliação de impacto compatível com o GDPR pode ser realizado, fornecendo informações sobre os riscos das atividades individuais. Além disso, você deve pesar quais processamento e coleta de dados atividades são necessárias e valiosas e onde os volumes de dados podem ser minimizados para reduzir o risco legal.
O GDPR requer que apenas os dados necessários sejam coletados, processados e armazenados - mas quanto menos dados estiverem realmente em circulação, menos trabalho e risco de responsabilidade para empresas.
Política interna de proteção de dados para empresas
Depois de implementar com sucesso as medidas de proteção de dados, é crucial estabelecer um política interna para futuras revisões a serem conduzidas em uma base contínua. É a natureza das estruturas corporativas a mudar com os tempos de mudança.
Eles devem ser verificados e ajustados regularmente, se necessário, para garantir que reestruturação ou outras mudanças nos processos de trabalho, organizações ou condições técnicas não levam a violações de proteção de dados ou medidas de conformidade ser esquecido.
Um claro código de conduta ou interno lista de verificação também é necessário para investigações internas em potenciais violações de conformidade para garantir soluções uniformes. Suponha que você ou seus funcionários suspeitem que as medidas de conformidade não foram aplicadas ou que não foram aplicadas corretamente. Nesse caso, o incidente deve ser esclarecido imediatamente e, em caso de dúvida, sanções impostas. Para evitar violações, seus funcionários devem ser sensibilizado preventivamente para o tema e receber treinamento sobre a conformidade da proteção de dados e as medidas a serem seguidas.
Permita que suas equipes apresentem eventos avisos, receber assistência e fazer sugestões de melhoria. Desta forma, você pode melhorar continuamente sua conformidade com a proteção de dados e criar um ambiente agradável ambiente de trabalho.
O que é um sistema de conformidade de privacidade de dados?
O sistema de conformidade de privacidade de dados combina as medidas tomadas para a privacidade de dados na empresa. Em outras palavras, trata-se de desenvolver um sistema funcional para implementar a legislação sobre privacidade de dados de forma eficaz.
O sistema forma a interface entre proteção e conformidade de dados em sua empresa. Isto inclui muitos fatores diferentes que influenciam as medidas e procedimentos. Dois dos fatores mais importantes que explicamos a seguir.
Medidas técnicas e organizacionais (TOMs)
As medidas técnicas e organizacionais (TOMs, para abreviar) desempenham um papel especial em proteção de dados. Entretanto, eles também são cruciais para segurança da informação - ou seja, a área que envolve dados não pessoais (por exemplo, internos da empresa, segredos da empresa e dados técnicos).
O objetivo também é proteger as empresas patrimônio. Enquanto os TOMs em segurança da informação não são obrigatórios, mas muito mais implementados a partir do interesse da empresa, o GDPR os exige claramente para proteção de dados (Art. 32 GDPR).
O GDPR exige que certos TOMs com normas de proteção são integrados, documentado, e monitorado para proteger os dados pessoais na empresa. Assim, é inevitável escolher TOMs estruturados e, se possível, automatizados para operar efetivamente em conformidade.
O sistema de denúncia de irregularidades
O Diretiva de Denúncia de Atos Ilícitos da UE exige que empresas com 50 ou mais funcionários e o setor público se estabeleçam sistemas de denúncia de irregularidades. Tal sistema permite que os funcionários forneçam informações personalizadas ou anônimas sobre queixas ou atos criminosos dentro da empresa. Os Estados-membros da UE devem promulgar suas leis nacionais para proteger os denunciantes.
Mas mesmo antes das disposições legais entrarem em vigor, um sistema de denúncia era um sistema importante conformidade ferramenta. Muitas empresas listadas em bolsa trabalham com tais sistemas há anos para proteger suas reputações. Como parte do sistema de conformidade, os sistemas de denúncia garantem que os riscos e violações sejam denunciados internamente e possam, assim, ser combatidos em uma fase inicial.
A palavra-chave em proteção de dados aqui é - anônimo. Porque esta estratégia de conformidade só funciona se a identidade do denunciante permanecer secreta. É verdade que a nova Lei de Proteção ao Denunciante, que em breve será promulgada na Alemanha, não dá prioridade aos denunciantes anônimos. Entretanto, contar com o anonimato para obter informações valiosas sem revelar o identidade do denunciante provou ser eficaz.
Mesmo que o ambiente de trabalho na empresa seja supostamente bom, ninguém gosta de admitir seus erros, repreender um colega, ou criticar o comportamento na suíte executiva. Assim, para implementar os requisitos legais, é necessário um sistema que permita soluções internas sem afetar negativamente as partes envolvidas (por exemplo, através de sanções).
Conformidade com a privacidade dos dados: Quem é o responsável?
Em princípio, todos nas empresas são responsáveis pela implementação da proteção e conformidade de dados em sua área. Afinal, a maioria dos funcionários executa tarefas que tocam na lei de proteção de dados ou têm interfaces com ela.
Entretanto, como a empresa é responsável por violações da lei de proteção de dados, é necessário estruturar um departamento separado ou uma equipe de compliance que lide principalmente com esta área. A responsável pela conformidade ou gerente de conformidade geralmente atua na capacidade gerencial.
Tarefas dos gerentes de conformidade
Os gerentes de conformidade verificam o cumprimento das leis aplicáveis, diretrizes, regulamentos e outras obrigações da empresa. Eles desenvolvem sistemas de gerenciamento de conformidade e usar adequado ferramentas de software para apoiar a conformidade.
Na maioria dos casos, os agentes de conformidade são submetidos treinamento jurídico ou vêm do setor privado. Também é essencial que os gerentes de conformidade sejam submetidos treinamento adicional regular e, portanto, manter-se atualizado sobre os regulamentos de proteção de dados.
Tarefas dos responsáveis pela privacidade de dados
Por outro lado, responsáveis pela proteção de dados são responsáveis pela proteção de dados da empresa. Eles não assumem necessariamente um papel operacional, mas atuam em uma consultoria capacidade. Além de analisar segurança de dados na empresa, como especialistas, eles fazem específicos recomendações de ação ou possível melhorias e monitorar o que está acontecendo na empresa em termos de lei de proteção de dados.
Muitas empresas dependem de um responsável externo pela proteção de dados aqui, pois a posição externa neutra garante sua função de monitoramento. A vantagem dos agentes externos de proteção de dados é que eles fazem não precisa ser treinado e já tem conhecimento profundo de proteção de dados. Em contraste com responsáveis pela proteção de dados internos, que podem se sentir ligados à empresa, os externos têm uma visão objetiva da empresa.
Como mencionado anteriormente, existe uma interface direta entre privacidade de dados e conformidade, razão pela qual os responsáveis pela privacidade de dados e as equipes de conformidade trabalham sempre em estreita colaboração. Além de acordos sobre conformidade específica de proteção de dados, a colaboração também pode ajudar a transferir as medidas aqui tomadas para outras áreas.
Conclusão
A prática mostra que as estruturas de gerenciamento de conformidade existentes muitas vezes não atendem às exigências legais da GDPR. Entretanto, o aumento do processamento de dados, especialmente no nível automatizado, torna inevitável uma boa estratégia de conformidade com a proteção de dados. Portanto, as empresas não devem considerar as questões de proteção de dados como um problema para amanhã, mas devem lidar com elas intensivamente hoje para se manterem aptas para o futuro.
O cumprimento da privacidade dos dados não é um fardo caro e burocrático, mas uma ótima maneira de melhorar a confiança na empresa e proteger sua reputação. Os proprietários de empresas devem estar igualmente cientes de que violações aos regulamentos de privacidade de dados podem resultar em penalidades sensíveis. Afinal, a proteção de dados não se trata apenas de proteger os indivíduos envolvidos, mas também a empresa contra danos à sua imagem e riscos de responsabilidade.
Você tem alguma pergunta sobre a conformidade com a proteção de dados? Nossa equipe treinada jurídica e tecnicamente o aconselhará de forma abrangente sobre todas as questões relativas à proteção de dados e à legislação de TI. Esteja à vontade para contato nós a qualquer momento.