Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL
După aplicarea directă a Regulamentului General privind Protecția datelor organizațiile au efectuat analize pentru a vedea ce date personale prelucrează. În unele cazuri s-au ajustat procedurile existente, s-au implementate proceduri noi, astfel încât să fie respectă legislația.
Numai că mesajul privind protecția datelor cu caracter personal ar trebui să ajungă la toți membrii personalului indiferent dacă colectează, prelucrează, utilizează și partajează date cu caracter personal sau nu.
De ce?
Deoarece în conformitate cu noul regulament, întreaga echipă este responsabilă pentru protecția datelor, nu numai departamentul IT.
GDPR afectează toate laturile unei activități și de aceea toți membrii personalului trebuie să joace un rol activ în protejarea datelor cu caracter personal. Pentru a menține conformitatea cu GDPR, angajații trebuie să înțeleagă cum și unde circulă datele. De asemenea, trebuie să știe unde sunt riscurile și care sunt responsabilitățile lor individuale.
Scopul instruirii este încurajarea unei culturi a protecției datelor prin întreaga companie. Este util dacă toată lumea are aceeași pregătire generală, astfel încât în rândul colegilor să planeze încrederea că participă cu toții la un obiectiv comun, respectiv angajamentul pentru protecția datelor. Desigur, nu toți membrii personalului au nevoie de o cunoaștere detaliată a reglementării protecției datelor, dar toată lumea trebuie să știe despre ce este vorba și cum afectează activitatea.
Factorul care va face cea mai mare diferență pentru implementarea GDPR este protecția personalului.
La fel cum într-un lanț ești la fel de puternic ca cea mai slabă verigă, angajamentul organizației de respectare a GDPR este la fel de puternic ca disponibilitatea personalului de a-și asuma răspunderea și de a face ceea ce trebuie atunci când vine vorba de date cu caracter personal – legate de client sau organizație.
Acest lucru face ca alinierea la GDPR să fie o problemă de resurse umane, indiferent cât de mult ar părea că aparține IT, marketing-ului sau unui alt departament, în majoritatea cazurilor, așa cum am văzut, scurgerile de date și încălcările nu sunt doar o problemă IT. Cele mai multe sunt cauzate de erori ale personalului, datorită lipsei de cunoștințe despre cele mai bune practici de protecție a datelor și prin ignoranța consecințelor.
Fundamental, cu toții trebuie să schimbăm nu doar ceea ce facem cu datele, ci și cum gândim despre protecția acestora, iar personalul trebuie să fie instruit corespunzător pentru a ști cum să protejeze datele, cum să prevină și să recunoască un incident de securitate și ce să facă atunci când intervine un incident de securitate.
Cum facem?
Prin programe de formare cu scopul de a convinge forța de muncă că respectarea GDPR-ului este o prioritate. Întreg personalul are nevoie atât de o înțelegere la nivel înalt a GDPR – chiar dacă este simplificată – cât și de o vedere clară a impactului asupra activității lor. Trebuie să înțeleagă în primul rând problemele legate de consimțământul personalului, securitatea și responsabilitatea pentru sine, despre ce trebuie făcut și ce nu trebuie făcut, și tot ceea ce înseamnă GDPR.
Când personalul aude de incident de securitate, se gândește la actori externi. Dar incidentele reale de securitate sunt aproape toate interne. De ex: o persoana care, în mod involuntar, trimite un e-mail către persoana greșită sau lasă date descoperite pe cloud-ul public al companiei (sau tava imprimantei), care învinge cu adevărat eforturile organizației de conformitate GDPR.
Luați în considerare implementarea instrumentelor care fac dificilă partajarea informațiilor accidental, dar educați personalul despre ce înseamnă cerințele GDPR pentru comunicațiile interne. Îmbunătățiți măsurilor de control al accesului către sistemele care dețin date cu caracter personal asigurați-vă numai persoanelor autorizate li se acordă drepturi de acces corecte.
Instruirea ar trebui să fie un proces continuu, GDPR este un fapt de viață și orice personal trebuie să știe despre asta.