A partir de 25 de maio de 2018, as novas regras GDPR (Genral Data Protection Regulation) sobre as empresas detentoras de dados pessoais entrarão em vigor e essas novas regras afetarão as empresas de todos os tamanhos que detêm dados de qualquer cidadão da UE “, dados pessoais “Sendo dados armazenados em um computador ou simplesmente em papel!
Até agora, de acordo com uma pesquisa realizada pelo escritório de advocacia Irwin Mitchell, apenas 30% das empresas se prepararam para o que está por vir, o que significa que muitas empresas provavelmente sairão de negócios se receberem a punição máxima de 4% de suas volume de negócios anual, limitado a 20 milhões de euros (US $ 24 milhões), aplicado pela OIC.
Muitas empresas continuam profundamente ignorantes e pensam que o regulamento não se aplica a elas, pois não armazenam informações em um computador, ou devido ao Brexit, as regras não se aplicam ou acham que as coisas estão bem como estão. Eles provavelmente estão errados, pois todas as empresas armazenam dados pessoais, seja funcionários, marketing ou informações de clientes, e conforme essas regras chegam antes que o Reino Unido saia da UE, também será escrito na lei do Reino Unido.
O que é GDPR
- GDPR são regras que as empresas devem respeitar quando possuem dados pessoais ou informações de cidadãos da UE.
- Eles dão poder às pessoas sobre seus dados pessoais e dão-lhes mais direitos, tornando as empresas mais responsáveis.
- Eles também simplificam o ambiente regulatório para os negócios internacionais, unificando o regulamento dentro da UE, por isso mesmo se você estiver fora da UE, ele ainda pode se aplicar a você.
- O regulamento abrange a forma como você deve manter os dados de forma segura, como deve ser exportado e o que você deve fazer se você tiver uma violação de dados.
- Com o GDPR, uma pessoa deve dar-lhe o consentimento para manter seus dados, eles têm o direito de exigir mudanças e eles têm o direito de ordená-lo para excluí-lo ou destruí-lo.
O que pode acontecer
Todas as empresas devem manter todos os dados pessoais de seus clientes, funcionários, etc. Se algum dado pessoal de um cidadão da UE estiver comprometido, deve ser reportado ao OIC dentro de 72 horas após a violação, caso contrário, a empresa ou organização será multada em até € 20 milhões. Se eles acharem que a segurança de seus dados era negligente ou você continha dados que deveriam ter sido excluídos, você também pode ser multado e até mesmo processado pelo indivíduo cujos dados você ocupou.
O que eu preciso fazer?
Qualquer negócio que processe ou contenha dados pessoais (on-line ou em papel) deve avaliar como ele administra esses dados, onde ele está armazenado, como ele é seguro, seja ele compartilhado com terceiros e se é realmente necessário.
Um bom primeiro passo é realizar uma avaliação de impacto. Isso deve se concentrar em três áreas principais: como os funcionários controlam e processam os dados; processos (como você obtém os dados, onde você armazena e envia); e reduzir o risco (garantindo que você tenha segurança e criptografia de dados adequadas no local).
Sob o GDPR, você só precisa notificar a ICO de uma violação onde é provável que resulte em um risco para os direitos e liberdades de indivíduos. Um exemplo é uma violação que é susceptível de ter um efeito prejudicial significativo sobre os indivíduos. Uma lista de nomes podem não ser prejudiciais, mas uma lista com data de nascimento e / ou detalhes de contato será. A OIC fornece as seguintes diretrizes para o que pode constituir um efeito prejudicial:
- resultar em discriminação
- danos à reputação
- Perda financeira
- perda de confidencialidade
- ou qualquer outra desvantagem econômica ou social significativa.
Mais uma vez, é de vital importância que todas as violações que possam ou correspondam a qualquer dos pontos acima, devem ser comunicadas ao ICO dentro de 72 horas após a tomada de conhecimento da organização.
Por exemplo, dados de funcionários, como avaliações, você precisa mantê-los depois que eles deixaram seu emprego? Se o empregado não pediu que você os mantivesse, depois de um período de tempo, seria sábio destruí-los ou excluí-los. Você também deve conceder o acesso do empregado ou do ex-funcionário a todos os dados que você mantém sobre eles para que eles possam garantir que ele seja exato e suscitar preocupações quanto à sua validade ou precisão.
Exceções
Há algumas exceções ao GDPR quando se trata do direito de ser esquecido, por exemplo, se você decidir manter os registros de desempenho dos funcionários por um período de tempo após a renúncia, no caso de uma reclamação legal futura contra você, ou há uma ação em curso disputa onde é evidência. No entanto, você deve ser claro sobre o que você vai segurar e certificar-se de que ele é destruído quando não é mais necessário.
O software My Equipment Rental Software é seguro
Se você estiver usando o software para armazenar dados e executar seu negócio, você deve certificar-se de que eles armazenam seus dados com segurança e que sua infraestrutura de login é segura. Se você não usar o software em nuvem, você deve garantir que você tenha backups regulares fora do site, que os servidores estejam em uma sala segura e bloqueada (alguém roubando um servidor ou um disco rígido é uma violação de dados). Você também precisa executar verificações de vírus regulares no servidor e em todos os computadores conectados, certifique-se de que seu firewall esteja configurado, mantido e ativo, bem como uma série de outros requisitos. Se você estiver usando o software da nuvem, a maioria desses requisitos é atenuada e tudo o que realmente precisa se preocupar é que os detalhes de login não sejam mantidos em segredo, o que é atenuado com o MFA (veja abaixo).
HireHop é seguro e compatível com GDPR
Todos os dados armazenados no software Cloud da HireHop são armazenados nos serviços RDS e S3 da Amazon Web Services (confiáveis pela NASA, Netflix, Ministério da Justiça do Reino Unido, etc. ). Todos os dados armazenados pela HireHop são criptografados por trás de um firewall e são respaldados diariamente, todos protegidos por uma infraestrutura de segurança multimilionária em centros de dados mundiais. O HireHop também adota um login de dois passos e limita a tentativa de login com tempo limite para impedir que hackers montem um ataque de força bruta para obter senhas. Todas as senhas armazenadas em HireHop são criptografadas para que nem mesmo nossos programadores possam decifrá-las.
Uma fraqueza de segurança em muitas organizações é que a equipe conta-se suas senhas, e quando um membro da equipe sai, mesmo que você tenha desabilitado sua conta, eles ainda podem conhecer outros detalhes de login do membro. Para combater este HireHop agora, inscreva-se no Google e na Microsoft e, com ambos, você pode habilitar o MFA. A vantagem disso é que, com o MFA, o membro da equipe não só precisa de sua senha para fazer o login, mas também o seu celular precisa estar à mão.