Kesalahan utama dalam memperkenalkan GDPR adalah mengandalkan kekuatan dan sumber daya hanya dari satu orang. Praktik umum adalah mengharapkan pekerjaan independen pada Aturan dari pengacara. Dalam situasi seperti itu, jika ia tidak memiliki bobot yang cukup serius dalam organisasi dan tidak dapat meyakinkan rekan-rekannya tentang perlunya pekerjaan terkoordinasi secara keseluruhan, maka semuanya akan berakhir dengan menyiapkan templat dokumen yang tidak berguna yang tidak akan melindungi perusahaan.
GDPR tidak menyadari sendirian
Lebih buruk lagi jika itu bukan pengacara. Setelah memberikan pertanyaan GDPR kepada copywriter atau pemasar, Anda bisa mendapatkan templat kebijakan privasi (kebijakan privasi) di situs web Anda. Apakah Anda ingat
mengapa ini buruk ? Dalam kebijakan seperti itu, pengguna Anda tidak akan melihat mengapa Anda mengambil nomor telepon mereka saat mendaftar untuk menerima email buletin. Dan kemudian mereka akan terkejut menerima panggilan dengan penawaran produk atau layanan. Intinya: keluhan ganda untuk pemasaran langsung dan kebijakan privasi.
Moral: Kepatuhan terhadap GDPR adalah kerja tim. Departemen kepatuhan, pengacara, keamanan informasi atau departemen infrastruktur TI, pemasaran dan penjualan, departemen SDM (jika ada karyawan di Uni Eropa), departemen produksi dan fungsional - tim impian ketika menerapkan Peraturan tersebut.
Jelajahi persyaratan secara komprehensif
Fokus sempit pada inovasi yang merugikan GDPR secara keseluruhan adalah kesalahan umum. Mulai menyusun kebijakan privasi atau menyetujui pemrosesan data pribadi, perusahaan sering lupa tentang aturan yang telah ada selama beberapa dekade. Aturan yang bermigrasi dari Petunjuk lama 95/46 / EC ke GDPR. Jika Anda hanya membaca publikasi ikhtisar singkat tentang inovasi GDPR, maka Anda mungkin tidak tahu tentang aturan tersebut. Sementara itu, GDPR tidak menghapuskan aturan-aturan Petunjuk, seperti yang secara eksplisit dinyatakan dalam artikel ke-94 dan pembukaan ke-171. Denda karena ketidakpatuhan terhadap aturan tertentu sama tinggi.
Nilai risiko
Dan lakukan di mana-mana. GDPR telah memindahkan perlindungan data pribadi dari daftar periksa ke penilaian risiko. Berdasarkan analisis risiko, Anda perlu mengembangkan dokumen secara mandiri dan menentukan tindakan apa yang harus diambil. Pada saat yang sama, Peraturan ini tidak menjelaskan hasil penilaian risiko yang akan menuntun Anda. Kemungkinan langkah-langkah sukses dan efektif dalam satu perusahaan tidak akan relevan bagi yang lain. Hanya berdasarkan tingkat risiko dan karakteristik ancaman tertentu, Anda dapat memilih langkah-langkah untuk perusahaan Anda.
Jadi, misalnya, risiko mentransfer basis data pribadi ke pesaing oleh karyawan yang disuap tidak relevan untuk perusahaan Anda. Selain itu, ada kemungkinan bahwa perusahaan kontraktor yang memproses data akan melakukan pelanggaran dengan konsekuensi negatif sehubungan dengan mereka yang mempercayakan data ini. Tugas Anda adalah melacak implementasi GDPR oleh kontraktor yang Anda terlibat dalam pemrosesan data pribadi. Anda mungkin belum pernah mendengar ini dari seorang teman dari perusahaan lain (yah, apa yang bisa Anda dengar dari kami).