Ngày GDPR, ngày 25 tháng 5, đang đến rất nhanh. Đối với hầu hết chúng ta, các cuộc trò chuyện đang được tiến hành, nhưng liệu các kế hoạch đã được đưa ra chưa? Nhân viên có đang được đào tạo không? Có đầu mối bảo vệ dữ liệu tại chỗ không?

Quá trình này có vẻ khó khăn, nhưng điều này là có lý do chính đáng. Quy định mới là bản cập nhật cho Đạo luật năm 1998 được tạo ra từ Chỉ thị bảo vệ dữ liệu của Liên minh Châu Âu vào năm 1995. Vậy tại sao phải thay đổi ngay bây giờ?

Thế giới là một nơi khác 20 năm trước. Amazon ra mắt vào tháng 7 năm 1995 và đến tháng 9 cùng năm, eBay được tung ra. Lần đầu tiên bạn có thể gửi một tin nhắn văn bản với văn bản tiên đoán là vào năm 1993. Và hầu hết các máy tính đều có ram 8MB - với một ram bổ sung 4MB có giá 400 đô la. Kể từ năm 1995, chúng tôi đã thấy sự ra mắt của Facebook (tháng 2 năm 2004) và Twitter (tháng 3 năm 2006) trong số nhiều nền tảng khác mà chúng tôi đã vui vẻ cung cấp dữ liệu cá nhân.

Đỉnh cao của sự gián đoạn khổng lồ

Tương tác với dữ liệu cá nhân của chúng tôi, nơi dữ liệu được lưu trữ và thói quen mua hàng của chúng tôi đang ở trên đỉnh điểm của sự gián đoạn khổng lồ. Chúng tôi không nghĩ về việc dữ liệu của mình đang ở đâu, ai đang sử dụng dữ liệu đó hoặc thậm chí liệu dữ liệu đó có được mua và bán như một loại hàng hóa hay không.

So sánh thế giới của chúng ta với hiện tại, có thể dễ dàng hiểu tại sao các luật trước đây đã lỗi thời và lý do GDPR sắp có hiệu lực - để thay thế và củng cố Đạo luật bảo vệ dữ liệu.

Có một số yêu cầu đối với GDPR , nhưng chúng có thể được nhóm lại thành ba lĩnh vực chính:

1. Chuẩn bị

Đào tạo nhân viên để đảm bảo họ hiểu các quy định và tuân thủ thông lệ - đó là trách nhiệm của tất cả những người xử lý dữ liệu cá nhân. Nói một cách khác nếu một khách hàng gọi điện và hỏi nơi lưu trữ dữ liệu cá nhân của họ, liệu mọi người có biết không?

Chỉ định một đầu mối bảo vệ dữ liệu để đảm bảo ai đó hiểu rõ về GDPR và có quyền thực hiện các thay đổi và tư vấn cho các nhà quản lý để thực hiện thay đổi, cũng như cung cấp đào tạo liên tục. Mọi người trong lĩnh vực hành nghề cũng cần hiểu cách ứng phó nếu xảy ra 'vi phạm dữ liệu'.

2. Đánh giá

Việc kiểm tra các quy trình hiện có xác định cách dữ liệu được sử dụng, xử lý và chia sẻ trong thực tiễn và khách hàng.

Đảm bảo mật khẩu và tài liệu được lưu trữ an toàn (bao gồm cả mật khẩu và tài liệu trên máy tính xách tay và thiết bị thông minh) và thư cam kết của khách hàng đã được cập nhật.

Thực hành kế toán cũng nên xem xét các chính sách để xác định đúng người gọi và đảm bảo có một quy trình để ngăn chặn việc chia sẻ thông tin không chính xác với khách hàng sai.

3. Giải quyết

Lập một kế hoạch hành động với thời hạn là điều bắt buộc. Điều này phải bao gồm việc tạo hồ sơ xử lý dữ liệu, chính sách bảo vệ dữ liệu, kiểm tra bảo mật và tìm kiếm sự đồng ý lại nếu cần.

Bạn phải ghi lại những dữ liệu cá nhân mà bạn nắm giữ, nó đến từ đâu, bạn chia sẻ nó với ai và bạn làm gì với nó. Sau khi quá trình kiểm tra hoàn tất, nó sẽ giúp giải quyết bất kỳ khoản thu nhập ngắn nào để đảm bảo tuân thủ GDPR.

Sau khi các chính sách được xác định, chúng cần được lập thành văn bản, chia sẻ với nhân viên và trở thành một "công việc kinh doanh như bình thường" mới. Đó là một phương pháp hay để giữ cho khách hàng của bạn biết về những tiến bộ mà bạn đã đạt được.

Tài nguyên

Có rất nhiều tài nguyên có sẵn để giúp tuân thủ. Văn phòng Ủy viên Thông tin ( ICO ) cung cấp lời khuyên kinh doanh chung tốt bao gồm các mẫu để ghi lại nơi lưu trữ tất cả dữ liệu cá nhân. Để biết thông tin cụ thể về hành nghề kế toán, có rất nhiều hướng dẫn và tài nguyên cụ thể với GDPR IRIS trung tâm.

Thức ăn cho suy nghĩ

Cuối cùng, mặc dù có nhiều thông lệ (và các doanh nghiệp) lo lắng về việc GDPR trở nên phức tạp, nhưng điều này đáng để so sánh với các tiêu chuẩn vệ sinh thực phẩm. Tất cả các cơ sở thực phẩm dù có quy mô như thế nào, đều phải tuân thủ các tiêu chuẩn vệ sinh.

Không ai đi ăn ở quán cà phê chơi nhanh và buông lỏng vệ sinh và điều tương tự cũng có thể xảy ra đối với các hoạt động không bảo vệ dữ liệu khách hàng của họ.

Quy định bảo vệ dữ liệu mới hiện chỉ mới bắt đầu, quyết định thời điểm hành động không phải là một lựa chọn. Quyết định hành động trong tuần này là một ưu tiên. Chúng tôi không muốn ai bị ngộ độc thực phẩm phải không?

GDPR trong 10 câu hỏi…

1. Với tư cách là người ra quyết định, bạn có biết luật đang thay đổi theo GDPR không?
2. Công ty và nhân viên của bạn có thể áp dụng các nguyên tắc về dữ liệu cá nhân không?
3. Công ty của bạn có các quy trình chính xác để đảm bảo bạn cung cấp các quyền của các cá nhân theo GDPR không?
4. Công ty của bạn có đang nắm giữ dữ liệu nhạy cảm trong hệ thống của bạn không?
5. Công ty của bạn có các quy trình để cung cấp tất cả dữ liệu bạn có về khách hàng nếu được yêu cầu không?
6. Công ty của bạn có thể chứng minh rằng bạn có cơ sở cần thiết để giữ dữ liệu khách hàng trong hệ thống của mình không?
7. Bạn có các quy trình phù hợp để phát hiện, báo cáo và điều tra dữ liệu cá nhân không?
8. Bạn đã thực hiện các biện pháp tổ chức và kỹ thuật thích hợp để thực hiện các nguyên tắc bảo vệ dữ liệu chưa?
9. Bạn đã chỉ định người đứng đầu bảo vệ dữ liệu trong tổ chức của mình chưa?
10. Hoạt động gia công phần mềm - thỏa thuận với nhà cung cấp của bạn có phù hợp với GDPR không?