Check lista za GDPR skladnost
Seznam, s katerim preverite skladnost z GDPR, je naslednji:
1. Zavedati se. Ni dovolj, da se o pomenu GDPR zavedajo le direktorji, IT osebje in pooblaščenci za skladnost. Zaposlene od vrha do dna organizacije je treba temeljito poučiti o pomenu Uredbe in vlogi, ki jo imajo oni pri tem.
2. Bodite odgovorni. Podjetja morajo narediti popis vseh zbirk osebnih podatkov, ki jih imajo, in se vprašati naslednja vprašanja: zakaj osebne podatke hranite? Kako ste jih pridobili? Zakaj so bili prvotno zbrani? Kako dolgo jih boste hranili? Kako varni so, tako v smislu šifriranja kot dostopnosti? Ali ste jih že kdaj delili s tretjimi osebami in na kakšni podlagi lahko to storite?
3. Komunicirajte z osebjem in uporabniki storitev. Gre za razširitev zavedanja. Oglejte si vsa trenutna obvestila o zasebnosti podatkov, ki obveščajo posameznike glede zbiranja njihovih podatkov. Opredelite vrzeli med stopnjo zbiranja in obdelave znotraj organizacije ter ugotovite, kako zavedne so stranke, zaposleni in uporabniki storitev.
4. Zaščitite pravico do zasebnosti. Revidirajte postopke in zagotovite, da zajemajo vse pravice posameznikov, vključno s tem, kako bi na zahtevo posameznika izbrisali osebne podatke ali jih predložili posamezniku v elektronski obliki.
5. Preglejte, kako se lahko pravice do dostopa spremenijo. Preglejte in posodobite postopke in načrtujte, kako boste obravnavali prijave v novih časovnih okvirih.
6. Razumite pravni drobni tisk. Podjetja bi morala preveriti vse vrste obdelav osebnih podatkov, ki jih izvajajo, in vsak trenutek vedeti za pravno podlago za izvedbo obdelave in to tudi znati dokumentirati.
7. Poskrbite, da je privolitev strank trdna. Podjetja, ki uporabljajo soglasje strank kot pravni temelj za obdelavo osebnih podatkov, bi morala pregledati, kako se privolitev zahteva, pridobi in zabeleži.
8. Skrbno obdelujte podatke otrok. Organizacije, ki obdelujejo podatke mladoletnih, morajo zagotoviti jasne sisteme, s katerimi se preveri posameznikovo starost in pridobi privolitev od skrbnikov, če gre za mlajše od 15 let (to bo namreč meja v slovenskem pravnem redu).
9. Imejte načrt za poročanje o kršitvah. Podjetja morajo zagotoviti pravilne postopke za odkrivanje, poročanje in preiskovanje kršitev osebnih podatkov. Vedno domnevajte, da se bo na neki točki kršitev zgodila.
10. Razumite oceno učinka za varstvo podatkov (DPIA) ter vgrajeno varstvo podatkov in varstvo podatkov s privzetimi nastavitvami. DPIA je proces sistematičnega upoštevanja potencialnega vpliva, ki ga lahko ima projekt ali pobuda na zasebnost posameznikov. To bo organizacijam omogočilo, da ugotovijo morebitne težave z zagotavljanjem pravice do varstva osebnih podatkov, preden se pojavijo, in ugotoviti način, kako jih ublažiti.
11. Najemite ali imenujte pooblaščeno osebo za varstvo podatkov. Pomembno je, da se prepričate, da nekdo v organizaciji ali zunanji svetovalec za varstvo podatkov prevzame odgovornost za skladnost varstva podatkov in razume odgovornost od znotraj navzven.
12. Izobrazite se glede notranjih organizacij v vaših družbah, ki upravljajo GDPR. Uredba vključuje "vse na enem mestu" določbo za pomoč organizacijam, ki delujejo v več državah članicah EU. Multinacionalne organizacije se bodo tako ukvarjale le z enim organom za varstvo podatkov ali vodilnim nadzornim organom kot svojim enotnim regulatornim organom v državi, kjer imajo sedež.
Povzeto po: Naked Security
