De acordo com as diretrizes e regulamentos da GDPR, do BDSG e das inúmeras leis auxiliares, as empresas que processam dados pessoais comercialmente devem assegurar uma proteção de dados abrangente. Os numerosos incidentes de proteção de dados mostram que isso muitas vezes nem mesmo é possível devido à complexidade da lei, às atualizações em andamento e às exigências cada vez maiores. Um incidente de proteção de dados ocorre quando a proteção de dados pessoais é violada. De acordo com o artigo da GDPR. 4 No. 12, este é o caso em caso de destruição, perda, modificação e divulgação não autorizada ou acesso não autorizado a/de dados pessoais durante a transmissão, armazenamento ou, em princípio, durante o processamento. Com incidente de proteção de dados, pode ser necessário notificar de acordo com o Art. 33 GDPR. A violação deve ser comunicada à autoridade supervisora.
Entretanto, esta não é, de forma alguma, a única exigência de relatório que pode existir. Se sua empresa processar uma grande quantidade de dados pessoais ou se seu processamento de dados estiver associado a um risco maior, talvez seja necessário realizar uma avaliação do impacto da proteção de dados - ou DPIA para abreviar. O objetivo disto é verificar antecipadamente a admissibilidade do processamento de dados e, se necessário, restringi-lo.
Se você teve uma violação de dados que torna indispensável a comunicação de um incidente de proteção de dados, ou se você opera em áreas de processamento que exigem uma avaliação de impacto de proteção de dados, você ou seu responsável pela proteção de dados deve preparar isto. Para fazer isto, você precisa acima de tudo de uma coisa: uma visão geral e uma gestão simplificada de todas as estruturas de proteção de dados. Incidentes de proteção de dados e multas devido a avaliações de impacto de proteção de dados esquecidas podem ser evitados se for criada capacidade suficiente na proteção de dados para uma ação pró-ativa. Como você faz isso? Com um parceiro confiável como o Priverion, que tem uma solução inteligente e eficiente para o gerenciamento simples da proteção de dados.
Se ocorrer um incidente de proteção de dados em sua empresa, por exemplo, através de roubo de dados após um ataque cibernético ou o envio acidental de um e-mail para o destinatário errado, a pessoa responsável sob o Art. 33 A GDPR é obrigada a informar à autoridade supervisora dentro de 72 horas após ter tomado conhecimento. Há uma exceção se "[...] a violação da proteção de dados pessoais dificilmente resultará em um risco aos direitos e liberdades das pessoas físicas". A não comunicação de um incidente de proteção de dados deve ser justificada por escrito. O aspecto de uma denúncia de um incidente de proteção de dados deve ser descrito no Art. 33 GDPR. Ao mesmo tempo, a empresa ou o responsável pela proteção de dados deve manter uma documentação precisa que deve ser revelada à autoridade de supervisão para revisão. Isto inclui, entre outras coisas, fatos, efeitos e as medidas corretivas tomadas no caso de um incidente de proteção de dados. Se a obrigação de comunicar um incidente de proteção de dados for violada, há um risco de multas elevadas. Deve-se notar também que, de acordo com o Art. 34 Parágrafo 1 GDPR, aqueles afetados pelo incidente de segurança da informação também devem ser informados imediatamente. Também aqui, o não cumprimento pode resultar em conseqüências. Independentemente do fato de ser necessário informar à autoridade de supervisão ou à pessoa interessada, uma penalidade pode ser imposta de acordo com o chamado procedimento de "pequena multa", que pode chegar a 10 milhões de euros ou 2% do faturamento anual da empresa.
Entretanto, um incidente de proteção de dados nem sempre é imediatamente reconhecível. Especialmente não se não houver uma visão geral da proteção de dados e só houver tempo para áreas de alto risco. Nosso módulo central oferece uma solução aqui.
A solução SaaS garante que você comece a trabalhar a longo prazo para cumprir com todos os regulamentos legais e a documentação regular. Com um gerenciamento de risco abrangente, você pode gerenciar e monitorar os riscos para sua conformidade de proteção de dados num piscar de olhos com uma única solução. Você pode ter todas as atividades e tarefas claramente exibidas em um diretório e mantidas. Isto reduz o risco de incidentes de proteção de dados de forma preventiva, ajuda a reconhecer incidentes de proteção de dados em um estágio inicial e a cumprir a obrigação de comunicação em caso de violação da lei de proteção de dados.
Os serviços do módulo central:
- Diretório de atividades de processamento (ROPA)
- Gerenciamento de processadores de dados
- Gestão TOM
- Gerenciamento de Incidentes
- Gerenciamento de risco (baseado no fluxo de dados)
- Relatórios e visualização do fluxo de dados
- Pedidos de informação
- Revisões e auditorias
- Função multidireito (de acordo com a pessoa jurídica)
Se você tiver alguma dúvida sobre os serviços do módulo central, entre em contato conosco para que possamos lhe ajudar.
As autoridades de supervisão publicam listas que estabelecem um quadro para quando uma DPIA deve ser realizada. Se dois ou mais dos critérios mencionados forem atendidos, a probabilidade de que seja necessário realizar uma avaliação do impacto da proteção de dados é muito alta. Isto inclui, entre outras coisas:
- Dados pessoais que são muito sensíveis.
- Dados de pessoas vulneráveis, tais como crianças
- grandes quantidades de dados
- são utilizadas soluções tecnológicas, tais como digitalizações de impressões digitais ou reconhecimento facial
- São utilizados pontuação, avaliação, perfilagem e previsão
- É uma observação sistemática das pessoas
Os requisitos de conteúdo de um DPIA devem ser atendidos:
- Descrição das operações de processamento
- Informações sobre o propósito ou interesse legítimo
- Avaliação da necessidade de processamento
- Proporcionalidade das operações de processamento
- Avaliação de risco dos direitos e liberdades dos titulares dos dados
- Medidas planejadas para lidar com o risco
O resultado da avaliação do impacto da proteção de dados pode levar a que o risco seja avaliado tão alto que o processamento de dados seja proibido pela autoridade supervisora. Se uma DPIA for negligenciada e uma violação da obrigação de realizá-la puder ser comprovada, há um risco de multas de até 10 milhões de euros ou 2% do valor anual mundial de volume de negócios.
Nosso módulo de eficiência pode ajudá-lo a dominar eficientemente a proteção de dados e também manter-se atualizado com a avaliação do impacto da proteção de dados ou reconhecer áreas de risco em tempo hábil e, se necessário, estruturá-las de forma diferente. Automatize tarefas recorrentes, garanta o acesso a processadores de dados e ROPAs padrão e mantenha-se atualizado sobre as mudanças atuais.
Os serviços do módulo de desempenho:
- Biblioteca do processador de dados
- Biblioteca ROPA
- Biblioteca de políticas
- Biblioteca TOM
- Biblioteca de Retenção e Eliminação
- Árvore de políticas
- Treinamento de funcionários
- Funções de fusão, aquisição e exclusão
- Azure Active Directory B2C
- Portal de proteção de dados
Caso ocorra um incidente de proteção de dados ou você precise criar uma avaliação de impacto de proteção de dados, nossa solução inovadora lhe dará um início direto. Aderir à sua obrigação de relatar e evitar multas elevadas. Você também pode criar mais tempo para uma ação proativa a fim de evitar incidentes de proteção de dados com antecedência e reduzir possíveis áreas de risco que precisam ser tratadas como parte das avaliações de impacto de proteção de dados. Com Priverion ao seu lado, a GDPR com todas as suas diretrizes, regulamentos e exigências de relatórios torna-se viável. Para cada empresa.
Esperamos fornecer-lhe informações mais detalhadas em uma reunião pessoal inicial e ficaríamos felizes em aconselhá-lo. Incidentes de proteção de dados mestre e avaliações de impacto de proteção de dados conosco com um pouco mais de confiança.