Um die Datenschutz-Grundverordnung (DSGVO) korrekt einzuhalten, müssen Unternehmen zahlreiche Aspekte und Details beachten.
Von Edson Gaseta*
Ab dem 1. August treten Sanktionen für Verstöße gegen die Regeln in Kraft, die in Allgemeines Datenschutzrecht (LGPD). Die Strafen für Unternehmen, die gegen die im neuen Gesetz festgelegten Punkte oder Bedingungen verstoßen, reichen von einer einfachen Verwarnung mit der Möglichkeit von Abhilfemaßnahmen; Geldstrafe von bis zu 2 % des Umsatzes mit einer Obergrenze von bis zu 50 Millionen R$ bis zur teilweisen oder vollständigen Aussetzung der Datenverarbeitungsaktivität.
Es ist anzumerken, dass jede Verletzung der Sicherheit personenbezogener Daten, ob vorsätzlich oder versehentlich, die zur Weitergabe solcher Daten führt, bestraft wird, unabhängig von der Menge der öffentlich zugänglich gemachten Daten. Daher ist es wichtig, dass Unternehmen über eine Cybersicherheitsstruktur mit Maßnahmen und Kontrollen verfügen, damit ihr Geschäft nicht stark beeinträchtigt wird. Eine der Maßnahmen, die Unternehmen ergreifen können, um die Auswirkungen eines Lecks zu minimieren, ist Kryptographie Ihrer Daten, da dies die Entschlüsselung wesentlich schwieriger und komplexer macht.
Zu beachten ist, dass laut Gesetz sowohl der Verantwortliche als auch der Betreiber für Schäden haftbar gemacht werden können, die aus einer Verletzung der Datensicherheit resultieren, wenn keine Schutzmaßnahmen ergriffen wurden. Der Verantwortliche ist das Unternehmen oder die Person, die den Umgang mit personenbezogenen Daten von der Erhebung bis zur Löschung koordiniert und definiert. Der Betreiber ist die Person oder das Unternehmen, die bzw. das im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet und handhabt.
Tatsächlich hat die Rolle jedes einzelnen für die Verarbeitung personenbezogener Daten verantwortlichen Agenten zahlreiche Zweifel aufgeworfen. So sehr, dass die Nationale Datenschutzbehörde Ende Mai (ANPD), die für die Inspektion zuständige Stelle und die Regulierung von DSGVO, veröffentlicht o „Leitlinien für die Definition von Agenten zur Verarbeitung personenbezogener Daten und von Datenverantwortlichen“. Ziel des Dokuments ist es, Leitlinien für Auftragsverarbeiter festzulegen und zu klären, wer die Rolle des Verantwortlichen, des Betreibers und des Managers übernehmen kann (DSB) des Datenschutzes.
Ein weiteres wichtiges Dokument ist der Datenschutz-Folgenabschätzungsbericht, den Unternehmen erstellen müssen und der sämtliche Vorgänge und verarbeiteten personenbezogenen Daten umfassen muss. Das Unternehmen, das auf irgendeine Weise Daten sammelt, sei es über eine Anwendung oder das Internet, muss diesen Auswirkungsbericht erstellen, der alle möglichen Schwachstellen bei den Verarbeitungsvorgängen enthalten muss. Wenn also eine Anwendung möglicherweise persönliche Daten preisgibt, die verloren gehen könnten, muss dies in dieses Dokument aufgenommen werden, wobei auf die Risiken von Datenlecks hingewiesen werden muss.
Zunächst müssen Sie die Risiken verstehen, sie dokumentieren und die Maßnahmen ergreifen, um sie so weit wie möglich zu minimieren. Dies ist eine Aufgabe des Risikomanagements und eine gesetzlich vorgeschriebene Maßnahme. Es ist keine leichte Aufgabe, aber sie muss erledigt werden.
*Edson Gaseta ist Cybersicherheitsspezialist bei Kryptus.
Ist WhatsApp zum Senden und Empfangen von Geld sicher? Besteht die Gefahr eines Betrugs? Mit dem Start Lesen Sie mehr
Folgen Sie Kryptus auf Google News Von: Waldyr Benits, Ph.D | Leiter Kryptologie Lesen Sie mehr