Когда следует пересмотреть меры по защите данных?
Пересмотр мер по защите данных необходим, потому что персональные данные и выполняемая ими обработка не являются чем-то изолированным и независимым, но на них могут влиять другие факторы, что делает защиту персональных данных динамичной работой, в которой ответственные и ответственные лица должны быть внимательны к тем, кто их обрабатывает.
Если меры по защите данных не будут пересмотрены при внесении изменений, которые могут повлиять на обработку, мы рискуем не соблюдать закон надлежащим и достаточным образом, а также подвергнуть риску обрабатываемую нами личную информацию клиентов и сотрудников, что может в итоге привести к нарушению.
Когда компании следует пересмотреть меры по защите данных?
Чтобы лучше понять, что мы имеем в виду, мы определяем эти элементы или факторы:
- Характер обработки определяет, как она осуществляется, автоматизированным, ручным или смешанным способом, какие операции в ней выполняются (данные обрабатываются в облаке, на мобильном устройстве, осуществляются международные передачи, данные передаются или передаются третьим лицам и т. д.).
- Сфера обработки относится к операциям, которые выполняются в облаке, на мобильном устройстве, международным передачам, передаче или передаче данных третьим лицам и т. д.). к категориям заинтересованных сторон, данным, продолжительности обработки, частоте сбора данных, хранению, детализации данных и т. д.
- Контекст — это внешние факторы, которые могут определять методы лечения, такие как законы и правила, характеристики отрасли деятельности, нарушения или инциденты в области безопасности, которые повлияли на аналогичные методы лечения, социальная среда и т. д.
- Целями обработки являются те, которые определяют причину сбора данных, и включают как инструментальные, так и побочные цели.
- Риски для прав и свобод субъектов данных — это те угрозы, которые могут материализоваться при проведении лечения и которые могут оказать негативное влияние на субъектов данных.
Таким образом, любое изменение, которое происходит в этих элементах или факторах, обязательно влечет за собой пересмотр принятых мер по защите данных.
Вот некоторые примеры, в которых необходимо будет пересмотреть меры по защите данных:
- Появление новых угроз безопасности.
- Если вы значительно увеличите объем персональных данных, которые обычно обрабатываются в компании.
- Если цели, для которых были первоначально собраны персональные данные, изменены.
- Если происходит изменение или нововведение в законодательстве, касающемся защиты данных.
- Если вы внедряете технологию для автоматического принятия решений на основе личных данных.
- Если вы собираетесь начать использовать технологию биометрической аутентификации.
- Если вы собираетесь проводить повторную обработку персональных данных обычным способом.
Как провести обзор мер по защите данных на предприятии?
Лучшим методом, помимо того, чтобы быть в курсе изменений в элементах и факторах, упомянутых в предыдущем пункте, является регулярное проведение аудитов защиты данных, включая их как часть политики защиты данных компании, устанавливая, когда они должны проводиться, как в целом, так и в какие сроки.
Точно так же, что касается мер безопасности в области защиты данных, они могут пересматриваться в более короткие сроки, например, каждый год, чтобы гарантировать, что они остаются эффективными и действительными в условиях, в которых угрозы меняются и развиваются с каждым мгновением.
Аудиты и проверки в области защиты данных могут проводиться собственными силами, но желательно также привлекать внешнего аудитора, такого как консалтинговая компания, специализирующаяся на защите данных, для обеспечения объективности процесса.