La principale erreur en introduisant le RGPD est de s'appuyer sur la force et les ressources d'une seule personne. Une pratique courante consiste à s'attendre à un travail indépendant sur les règles d'un avocat. Dans une telle situation, s'il n'a pas suffisamment de poids dans l'organisation et ne peut pas convaincre ses collègues de la nécessité d'un travail global coordonné, alors tout se résumera à préparer des modèles de documents inutiles qui ne protégeront pas l'entreprise.
Le GDPR ne se rend pas compte seul
Encore pire si ce n'est même pas un avocat. Après avoir posé des questions sur le RGPD à un rédacteur ou un responsable marketing, vous pouvez obtenir un modèle de politique de confidentialité (politique de confidentialité) sur votre site Web. Vous rappelez-vous
pourquoi c'est mauvais ? Dans une telle politique, vos utilisateurs ne verront pas pourquoi vous avez pris leur numéro de téléphone lors de l'inscription à une newsletter par e-mail. Et puis ils seront surpris de recevoir un appel avec l'offre d'un produit ou d'un service. Conclusion: double plainte pour le marketing direct et la politique de confidentialité.
Moralité: la conformité au RGPD est un travail d'équipe. Département de la conformité, avocats, département de la sécurité de l'information ou de l'infrastructure informatique, marketing et ventes, département des RH (s'il y a des employés dans l'Union européenne), départements de production et fonctionnels - équipe de rêve lors de la mise en œuvre du règlement
Explorez les exigences en détail
Une focalisation étroite sur l'innovation au détriment du RGPD global est une erreur courante. Commençant à élaborer une politique de confidentialité ou à consentir au traitement des données personnelles, les entreprises oublient souvent les règles qui existent depuis des décennies. Règles ayant migré de l'ancienne directive 95/46 / CE vers le RGPD. Si vous ne lisez que de brèves publications générales sur les innovations du RGPD, vous ne connaissez probablement pas ces règles. Pendant ce temps, le RGPD n'abolit pas les règles de la directive, comme indiqué explicitement dans le 94e article et le 171e préambule. Les amendes pour non-respect de certaines règles sont également élevées.
Évaluer les risques
Et faites-le partout. Le RGPD a déplacé la protection des données personnelles des rails des listes de contrôle vers l'évaluation des risques. Sur la base d'une analyse des risques, vous devez développer indépendamment des documents et déterminer les mesures à prendre. Dans le même temps, le règlement ne décrit pas le résultat auquel l'évaluation des risques vous conduira. Il est probable que des mesures efficaces et réussies dans une entreprise ne seront pas pertinentes pour une autre. Ce n'est qu'en fonction du niveau de risques et des caractéristiques d'une menace particulière que vous pouvez choisir des mesures pour votre entreprise.
Ainsi, par exemple, le risque de transfert d'une base de données personnelles à un concurrent par un employé soudoyé n'est pas pertinent pour votre entreprise. De plus, il est probable que l'entreprise contractante qui traite les données commettra une violation avec des conséquences négatives par rapport à ceux qui lui ont confié ces données. Votre tâche est de suivre la mise en œuvre du RGPD par les contractants que vous avez impliqués dans le traitement des données personnelles. Vous n'en avez peut-être pas entendu parler par un ami d'une autre entreprise (enfin, ce que vous pouvez entendre de nous).