Привеждане в съответствие с GDPR

Регламент (ЕС) 679/2016 променя или въвежда напълно нови практики за администраторите на лични данни на европейски граждани, чрез задължително прилагане на нови мерки за увеличаване отговорността и отчетността – GDPR. Някои от основните са:

–                 Променени правила за получаване на валидно съгласие от субекта, собственик на данните;

–                 Уведомяване на контролните органи, в случай на кибер инцидент, свързан с лични данни;

–                 Периодична оценка на важността и риска за личните данни;

–                 Гарантирането правата на субекта да бъде заложено в проектирането или модернизирането на нови системи, обслужващи бизнес процеси;

–                 Идентифициране сроковете за съхранение на лични данни, както и необходимият инструментариум за периодичен преглед и заличаване;

–                 Изисквания за преносимост и корекция на неверни данни;

–                 Контролни механизми за страните, обработващи данни от името и за сметка на администратора;

–                 Правото да бъдеш забравен, правото на отказ от профилиране и др.

Етапи на привеждане в съответствие с GDPR предлагани от екипа ни:

ЕТАП 1 – Анализ на потенциалните несъответствия:

  1. Анализ на разполагаемите лични данни и начина на обработката им спрямо изискванията на GDPR.
  2. Анализ на обмена на данни с трети страни, включително сключените споразумения с тях от гледна точка на регламента;
  3. Анализ на правното съответствие в областта на личните данни по отношение на законов интерес, съгласие, споделяне с трети страни, специфични приложими правни рамки за дружеството при обработката им;
  4. Идентифициране и анализ на наличната към момента структурирана и неструктурирана информация и потоци от данни ;
  5. Идентифициране на рисковете свързани с обработката на лични данни според наблюденията;
  6. Анализ на съществуващите роли и отговорности по отношение на обработката на личните данни;
  7. Анализ на мерките за сигурност по отношение на IT инфраструктурата на дружеството и потенциалните промени, които се налагат за удовлетворяване изискванията на GDPR;
  8. Преглед и анализ на вътрешни процедури, работни инструкции, правилници и др. свързани с обработката на лични данни и по управление на IT;
  9. Анализ за съответствие на текущи практики по оторизация, идентификация и определяне на достъпи до данни;
  10. Анализ на наличния на процес по докладване, реакция и извличане на доказателства при инциденти с лични данни;
  11. Финален доклад с идентифицираните несъответствия и план за действие за възложителите.

ЕТАП 2 – Организационни промени:

  1. Създаване на политика за защита на личните данни – обща рамка;
  2. Процедури по обработка на лични данни;
  3. Създаване на методология за оценка на риска свързан с обработката на лични данни;
  4. Ревизия с на използваните документи в електронни или други форми използване при обработката на лични данни в организацията /форми за съгласие, онлайн форми, общи условия, шаблони за споразумения с трети страни/;
  5. Създаване и одобряване от мениджмънта на вътрешни правила/политики за собствена класификация на информацията, съгласно приетата матрица „длъжностни задължения/достъп до информация/верификация на мерките“;
  6. Създаване/ревизия на специфични IT процедури за подобряване на сигурността при обработка на лични данни;
  7. Анализ на разполагаемите инструменти за мониторинг на сигурността и потоците данни с предложения за промяна или въвеждане на нови такива;
  8. Проверка и анализ на мерките за криптиране, анонимизация / псевдонимизация и резервиране за съответствие с препоръките на добрите практики и GDPR;
  9. Процедура за докладване на пробиви свързани с лични данни, заедно с форми за докладване и оценка на потенциалното въздействие на инцидента върху организацията;
  10. Обучение на определените за отговорни за класификацията служители за познаване на вътрешни процедури и начина на обновяването им в бъдеще;
  11. Обучение на служители, имащи  достъп до класифицирана информация, съгласно приетите процедури;
  12. Анализ и проверка на обслужващите системи, относно гарантиране правата на субекта съгласно GDPR;
  13. Длъжностна характеристика и описание на задълженията на DPO;
  14. Специфични политики и форми за съгласие на уеб портали на възложителите;