Az adatok eltávolítására és megsemmisítésére, valamint az adathordozók leselejtezésre való proaktív felkészülés segíti a vállalatot abban, hogy megfeleljen az EU adatvédelmi szabályainak és biztosítani tudja a feledéshez való jogot („right to be forgotten”). Emellett csökkentik a szervezet ellen indított hatósági eljárás valószínűségét és az esetlegesen kiszabott büntetések mértékét. Alábbiakban olvashatja, hogy melyek azok a területek, ahol segíteni tudunk!
Írott dokumentáció készítése
Készítsen egy részletes listát mindazon fizikai, virtuális és logikai helyekről, melyeken vállalati, valamint az ügyfelekre, a vevőkre, az alkalmazottakra, a beszállítókra és a partnerekre vonatkozó adatokat tárol. Az elkészült listát vitassa meg minden belső osztállyal és érintettel, majd tartsa naprakészen.
Vezessen be biztonságos adatmegsemmisítési eljárást
Az elektronikus és informatikai adathordozókról olyan minősített módon távolítsa el a szükségtelenné vált adatokat, amely megfelel az olyan a jogilag előírt felülírási szabványoknak, mint a HMG Infosec vagy a DoD 5220.22.M. Ellenőrizze, hogy az eljárást elfogadják-e a nemzetvédelmi hatóságok, és megfelel-e az olyan szervezetek előírásainak, mint a NATO, a CESG, a TUV SÜD vagy a DIPCOG.
Minden adattörlést igazoljon
Az ügyfelek és vevők, a jelenlegi és volt alkalmazottak, valamint a beszállítók és partnerek korábbi adatokkal kapcsolatos kérdéseire írásban kell válaszolnia. Ennek során fel kell tudni mutatnia fizikai bizonyítékot (jegyzőkönyvet) arról, hogy az érintett elavult vagy irrelevánssá vált adatait mikor és milyen módszerrel, milyen eredménnyel semmisítette meg.
Tájékoztassa az érintetteket
Az ügyfeleket rendszeresen és ismétlődő módon tájékoztatnia kell az adataik feldolgozásának módjáról. Írásban kell tájékoztatnia az ügyfeleket arról, hogy milyen módon vonhatják vissza az adataik kezeléséhez adott hozzájárulásukat. Ha az adatok feldolgozásának vagy kezelésének módjában változás történik, erről írásban kell tájékoztatnia az ügyfeleket.
Menedzselnie kell a mobileszközöket
Ha az alkalmazottak mobileszközöket használnak a munkájuk során, készítsen szabályzatot arra, hogy mi történik az eszközökön tárolt adatokkal az eszköz ellopásakor, eladásakor vagy a munkaviszony megszűnésekor. Biztosítsa, hogy külön terv készüljön a vállalat saját tulajdonában lévő eszközökre és az alkalmazottak tulajdonában lévő eszközökre.
Felelősen gyűjtse az adatokat
Készítsen útmutatást arra, hogy milyen típusú és szintű profilozást (adatgyűjtést) végez a szervezete.
Segítse az együttműködést a részlegek között
A szervezet részlegeivel működjenek együtt a cég minden szintjén, hogy támogatni tudják az egyedi adatgyűjtési, adattárolási és adatmegsemmisítési üzleti igényeiket és céljaikat.
Szervezzen oktatást és tréningeket
Készítse el a megfelelő oktatási anyagokat az alkalmazottak számára a teljes szervezetben, melyek leírják a különböző adatvesztési forgatókönyveket és okokat, az adatok védelmére és integritásának monitorozására vonatkozó legjobb gyakorlatokat, valamint az adatok megsemmisítésének helyes (és helytelen) módjait. Juttassa el ezeket az anyagokat minden munkavállaló számára, tekintet nélkül beosztásukra és munkakörükre.
Nevezzen ki adatvédelmi felelőst
Egy belső embert nevezzen ki adatvédelmi felelősnek. Ennek a személynek a feladatai közé tartozik, hogy implementálja az adatkezelésre vonatkozó szabályozásokat, az informatikai és adathordozó eszközök menedzsmentjét megvalósítsa azok teljes életútján keresztül, beleértve a leselejtezés folyamatát is. Az adatvédelmi felelős feladatai közé tartozik az is, hogy naprakész maradjon az EU- és a nemzeti adatvédelmi szabályozások és ajánlások változásaival kapcsolatban.
Végezzen kockázatkezelést
Készítsen átfogó kockázatkezelési tervet, mely kiterjed az adatok kezelésének módjára azok keletkezésétől kezdve a tárolásukig és eltávolításukig az adathordozók adatoktól való fertőtlenítésének módjáig. A kockázatkezelési tervnek ki kell terjednie az olyan harmadik szervezetekre is, mint a beszállítók és a partnerek.
Az adatkezelő és az adatfeldolgozó, a változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell, hogy végre hajtson annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja
- a személyes adatok álnevesítését és titkosítását, a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
- fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére,felmérésére és értékelésére szolgáló eljárást.
Ha szükséges végezzen hatáselemzést
Készítsen incidenskezelési tervet
Foglaljon írásba egy incidenskezelési tervet, melyre a szervezet egy adatvédelmi incidens esetén a válaszreakcióit alapozza. A tervnek tartalmaznia kell az érintetteknek küldött mintaüzeneteket, a sajtónak küldött mintaüzeneteket, a maximális válaszidőt, az elvárt határidőket, az érintettek listáját, és a kríziskezeléssel megbízott csapat tagjainak szerepeit és feladatkörét.
Vizsgálja felül dokumentumait, amelyek a személyes adatok kezelését befolyásolhatják
Igényelt dokumentumok
- Szervezeti ábra
- Szervezeti eljárások
- Információbiztonsági szabályzat
- Információbiztonság adminisztrációs eljárásai
- Jogosultságkérő lap mintapéldánya
- Rendszerfejlesztési és karbantartási életciklusok – programváltoztatások kezelésének módszertana
