Много бизнеси допускат сходни пропуски при обработването на лични данни – често неумишлено, но с потенциален риск от санкции, пробиви в сигурността или загуба на доверие. Ето някои от най-честите грешки и как да ги избегнете:
- Липса на прозрачност при събиране на данни
Не се предоставя ясна и разбираема информация на клиентите и служителите какви лични данни се събират, с каква цел и как ще бъдат използвани.
✅ Решение: Изгответе и публикувайте актуална и достъпна политика за поверителност.
- Събиране на повече данни, отколкото са необходими
Събират се данни „за всеки случай“ или „ако потрябват“, без реална нужда.
✅ Решение: Прегледайте всички формуляри и процеси и премахнете ненужните полета (напр. Не би следвало да се изисква ЕГН при онлайн регистрация за бюлетин).
- Липса на политика за управление на пароли и достъп до данни
Служителите използват лесни пароли или имат достъп до данни, които не са им нужни за работата.
✅ Решение: Въведете правила за силни пароли, периодична смяна и достъп от страна на служители само до необходими за работата им данни.
- Няма проследимост при обработването на данни
Не се знае кой има достъп до кои данни, кога и защо.
✅ Решение: Поддържайте регистри на дейностите, логове на достъп и отчетност по GDPR.
- Липса на процедури за реагиране при инциденти или при искания от страна на субекти на данни
Организацията не е подготвена как да реагира при пробив в сигурността или искане от страна на субекти на данни.
✅ Решение: Изгответе вътрешен план за действие при инциденти и провеждайте обучение на екипа. Създайте бланки на документи, за да можете да реагирате своевременно напр. при искане за достъп до данни, упражняване на право на изтриване и т.н.
- Неправомерно използване на съгласие като основание за всичко
Изисква се съгласие дори когато обработването може да се извършва на друго основание, напр. договор или легитимен интерес.
✅ Решение: Определете правилното основание за всяка дейност – съгласието се използва, когато няма друго подходящо основание за обработване на данните в конкретния случай.
- Липса на договори с обработващи лични данни (напр. IT доставчици, куриери, счетоводители)
Решение: Уверете се, че имате писмен договор с всеки обработващ, в който са уредени правата и задълженията по чл. 28 от GDPR.
- Необучени служители
Служителите не знаят основни понятия, свързани със защитата на лични данни и не знаят как да реагират в конкретни ситуации.
✅ Решение: Провеждайте кратки и регулярни обучения или инструктажи, особено при постъпване на работа.
