10 kroků k souladu s GDPR. Jste připraveni?

Nařízení Evropské unie o GDPR vstoupí v platnost za méně než 8 měsíců, takže nyní je ten správný čas si projít všechny kroky, které jste učinili, abyste dosáhli souladu s nařízením, a jaké kroky vám ještě zbývá podniknout.

1) Seznamte se s tím, co má přijít – Seznámení s problematikou GDPR, obsahem, riziky plynoucími z nesplnění

2) Přijměte odpovědnost – Komisař doporučuje organizacím si udělat přehled o osobních datech, která zpracovávají a prověřit je dle následujících otázek

a) Proč tyto informace drží?

b) Jak je získaly?

c) K čemu byly původně získány?

d) Jak dlouho je plánují držet?

e) Jak jsou zabezpečeny, co se týče zašifrování a přístupu k nim?

f) Zda tyto informace sdílí se třetími stranami a na základě čeho tak čin

3) Revize práv na osobní soukromí – Subjekty dat mají mnoho práv upravujících, jak organizace mohou sbírat a spravovat údaje o nich, ty zahrnují:

a) Právo být informován.

b) Právo na úpravu údajů.

c) Právo na smazání údajů.

d) Právo na omezení zpracování.

e) Právo na přenosnost údajů.

f) Právo na námitku.

g) Právo na přístup.

4) Komunikujte se zaměstnanci a uživateli služeb – Nejste jediní, kdo musí vědět o právech datových subjektů. Když sbíráte data o zaměstnancích, klientech nebo uživatelích služeb, musíte je informovat o jejich právech.

5) Seznamte se s právním pozadím – Organizace musí prokázat, že mají právo na zpracování dat. Většina organizací nyní používá souhlas subjektu, ale GDPR upravuje pravidla pro jeho získání a udržení. Kromě souhlasu existuje ještě 5 dalších právních bází pro zpracování dat:

a) Smlouva s jedincem

b) Srozumění s právním závazkem

c) Životní zájmy

d) Veřejný úkol

e) Oprávněné zájmy

6) Změňte své požadavky na souhlas – V mnoha případech je souhlas nejvhodnější formou právního podložení, takže je třeba vědět, jak si jej vyžádat. GDPR uvádí seznam konkrétních případů pro zákonný požadavek na souhlas.

7) Prozkoumejte si politiky pro souhlasy dětí – Výchozí věk, kdy už osoba není považována za dítě, je 16 let. Nařízení ale umožňuje členským státům si tento věk zvolit kdekoliv mezi13 až 16 lety. Datoví kontroloři si musejí být této hranice vědomi a vyvarovat se vyžadování souhlasu od mladších osob.

8) Dosaďte pověřence pro ochranu dat (DPO) – GDPR uvádí, že pověřenec pro ochranu dat (DPO) by měl v organizaci dohlížet nad programem strategií na ochrany dat a souladu s nařízením. Přestože pouze některé organizace mají dosazení pověřence vysloveně nařízeno, nařízení doporučuje dosazení pověřence všem organizacím, kterých se GDPR týká.

9) Plán pro případ úniku dat – Jednou z největších výzev, kterou GDPR pro organizace představuje, jsou požadavky na oznámení o úniku dat. Organizace musí nahlásit únik dat nadřazené autoritě do 72 hodin od zjištění a poskytnout jim co nejvíc podrobností.

10) Přijetí přístupu soukromí na prvním místě – Organizace by měly zavést přístup soukromí od základu. Aby tak mohly učinit, musejí, než se pustí do nových projektů nebo iniciativ, nejprve provést vyhodnocení dopadu ochrany dat (DPIA). DPIA pomáhají organizacím vidět, jak změny v obchodu ovlivní soukromí lidí a jejich výsledky mohou být použity pro přípravu a snížení následků s dostatečným předstihem.

Napsat komentář