Napisane przez Ana Canteli, 22 lutego 2021 r.
Ochrona danych osobowych to jedno z najważniejszych zadań, przed którymi stoi każda organizacja. Nie ma znaczenia, czy dany podmiot zajmuje się produkcją owoców i warzyw, leśnictwem, czy też oferuje usługi medyczne.
Jeśli tworzysz, otrzymujesz lub zarządzasz danymi osobowymi, musisz przestrzegać przepisów o ochronie danych: od bycia na bieżąco z obowiązującymi przepisami po opracowanie strategii compliance, która gwarantuje przestrzeganie przepisów.
Jest to problem, który może nie w równym stopniu i nie zawsze w ten sam sposób ale dotyka nas wszystkich co sprawia, że jest to złożony problem, który może stać się prawdziwym kłopotem, jeśli prywatność nie zostanie uwzględniona w projekcie, co doprowadzi do potencjalnie milionów dolarów kar za niewykonanie strategii compilance.
Zgodność z przepisami o ochronie danych jest częścią bezpieczeństwa danych skoncentrowaną na właściwym zarządzaniu danymi, czyli wszystkim, co ma wpływ na powiadamianie, zgodę, kontrolę, przydzielanie i przetwarzanie Twoich danych oraz zgodność z obowiązującymi przepisami. W szczególności zgodność z przepisami dotyczącymi ochrony danych próbuje określić, czy i jak strony trzecie pracują z przetwarzanymi danymi, w tym w jaki sposób są gromadzone, przechowywane i zarządzane zgodnie z obowiązującymi przepisami. I w tym zakresie niezbędna jest wiedza o tym, jakie przepisy dotyczące ochrony danych osobowych nas dotyczą. Zarządzanie podmiotami danych od obywateli UE (zgodność z RODO) w USA (zgodność z HIPAA oraz CCPA) lub w innych krajach nie jest tym samym.
Oprogramowanie do zarządzania dokumentami ma ogromne znaczenie przy wdrażaniu systemu zgodności w zakresie ochrony danych, który zapobiega ryzyku wynikającemu z niezgodności lub naruszenia danych, jednocześnie umożliwiając skoncentrowanie wysiłków na produktywnych działaniach firmy.
Im więcej granic krajowych przekracza Twoja firma, tym jest to bardziej ważne. Jest to spowodowane tym, że organizacje muszą monitorować wszystkie wymagania dotyczące prywatności. Jeśli posiadamy system zarządzania dokumentami, który przyczynia się do wdrożenia solidnej polityki zarządzania danymi, łatwiej będzie spełnić dodatkowe wymogi ustawodawstwa krajowego
Analiza architektury zarządzania informacjami w całym podmiocie jest niezbędna, aby zapewnić bezpieczeństwo danych osobowych. Jeżeli zarząd nada priorytet temu aspektowi, to wygrywa większość walk o zachowanie zgodności z ochroną osób, których dane dotyczą. Może to również oznaczać zawieranie umów z podmiotami trzecimi w zakresie przetwarzania danych osobowych. Jedną z najważniejszych rzeczy jakie należy wiedzieć, jest to gdzie znajdują się nasze bazy danych zawierające wrażliwe informacje. Jednocześnie musisz zdawać sobie sprawę, że w kopiach zapasowych, w chmurze, w e-mailach i wielu innych lokalizacjach mogą być przetwarzane dane osobowe. Wszystko to liczy się, jeśli chodzi o ochronę danych osobowych przed ich naruszeniem, a nawet przypadkową dystrybucją.
Jeśli podejmujesz decyzje dotyczące danych osobowych w oparciu o procesy, muszą one być zgodne z prawami ochronnymi. System informacyjny musi również obejmować funkcje audytu na różnych poziomach, aby zagwarantować identyfikowalność procedur i polityk. W przypadku odchylenia lub niezgodności należy zidentyfikować incydent i zneutralizować lub skorygować w inny dogodny sposób. Idealnie byłoby, gdyby system ten zawierał funkcję raportowania, aby uzyskać informacje o aspektach, które mogą na nie wpływać.
Jest to kolejna podstawowa zasada zarządzania ochroną danych osobowych; Innymi słowy, ludzie mają prawo do usunięcia swoich danych osobowych, anonimizacji ich lub nałożenia na nie pseudonimu. Jednocześnie organizacje muszą uważać, aby nie usuwać danych, które powinny zostać zatrzymane, ze względów regulacyjnych lub prawnych (zasada integralności). W tym sensie systemy zarządzania dokumentami powinny mieć plan archiwizacji, który pomaga zarządzać harmonogramem przechowywania i ostateczną utylizacją danych osobowych.
Zmniejszenie ilości przechowywanych przez nas informacji jest prostym środkiem i wystarczającym, aby uchronić się przed wpływem ochrony danych. Innym sposobem zastosowania tej miary jest znajomość okresu, w którym musimy zachować te dane.
Niski koszt nośników pamięci może skłaniać nas do zapisywania informacji w większej ilości i dłużej niż to konieczne, myśląc, że możemy je umarzać do nowych celów. Ale dzięki nowym ramom prawnym, które są bardziej precyzyjne we wszystkich aspektach prywatności, nie jest to już tylko uważane za źródło możliwości, ale może być również źródłem naruszeń prawa.
Zalecane jest wyznaczenie osoby odpowiedzialnej za bezpieczeństwo informacji lub prywatność danych. Najprawdopodobniej masz już osoby i działy, które pełnią te obowiązki. Biorąc jednak pod uwagę, że mamy ramy prawne, które wymagają powołania inspektorów ochrony danych (RODO, HIPAA, CCPA), warto rozpoznać potrzebę i zapewnić środki jej zaradzenia, takie jak system zarządzania dokumentami, który chroni prywatność przed projekt własnego oprogramowania.