GDPR Compliance Checklist
Principiul responsabilitatii este esential pentru GDPR (Regulamentul general privind protectia datelor). Organizatiile care prelucreaza date cu caracter personal trebuie sa respecte, dar si sa demonstreze conformitatea cu cerintele Regulamentului.
Lista de verificare de mai jos prezinta cele opt domenii esentiale pe care ar trebui sa le verificati pentru a va asigura ca puteti demonstra conformitatea organizatiei dumneavoastra cu GDPR:
Stabilirea unui cadru de responsabilitate si guvernanta;
Stabilirea scopului si planificarea proiectului;
Efectuarea unui inventar de date si a unui flux de date;
Efectuarea unei analize detaliate a decalajelor (gap analysis);
Elaborarea politicilor, procedurilor si proceselor operationale;
Asigurarea securitatii datelor personale prin masuri procedurale si tehnice;
Comunicatii;
Monitorizarea si verificarea conformitatii
1. Stabilirea unui cadru de responsabilitate si guvernanta
Compatibilitatea cu GDPR necesita suport efectiv la nivelul board-ului companiei. Prin urmare, este esential ca board-ul sa nteleaga implicatiile Regulamentului - atat pozitive, cat si negative - astfel ncat sa poata aloca resursele necesare pentru atingerea si mentinerea conformitatii.
Ce trebuie sa faceti:
Recomandati board-ului riscurile si oportunitatile GDPR;
Obtineti sprijin pentru management pentru un proiect de conformitate cu GDPR;
Atribuirea unui director cu responsabilitate pentru GDPR;
Incorporarea riscului de protectie a datelor n cadrul managementului riscurilor corporative si al controlului intern.
2. Stabiliti scopul si planificati-va proiectul
Odata ce ati obtinut asistenta la cel mai nalt nivel, va trebui sa stabiliti ce domenii de business din organizatia dvs. se ncadreaza n domeniul de aplicare al GDPR si sa analizati care dintre abordarile existente ar putea fi afectate sau care ar putea contribui la eforturile dvs. de conformare.
Ce trebuie sa faceti:
Desemnati si instruiti un manager de proiect si numiti un responsabil cu protectia datelor (DPO), daca este necesar;
Identificati ce entitati vor fi n domeniul de aplicare al GDPR: unitati de afaceri, teritorii, jurisdictii etc .;
Identificati alte standarde sau sisteme de management care ar putea oferi un cadru de conformitate, de ex. implementarea standardului ISO 27001 demonstreaza ca respectati cele mai bune practici de gestionare a securitatii informatiilor;
Evaluarea principiului protectiei datelor prin proiectare si implicit (privacy by design, privacy by default) mpotriva proceselor si sistemelor actuale sau noi;
Luati n considerare eventual implicatiile Brexit n planificarea dumneavoastra.
3. Efectuati un inventar de date si un audit al fluxului de date
Este imposibil sa respectati cerintele de procesare a datelor impuse de GDPR daca nu ntelegeti pe deplin ce date procesati si cum le procesati.
Ce trebuie sa faceti:
Sa evaluati categoriile de date detinute, de unde provin si baza legala de prelucrare;
Transferarea fluxurilor de date catre, prin si din organizatia dvs.;
Utilizati harta de date pentru a identifica riscurile n activitatile dvs. de prelucrare a datelor si pentru a stabili daca este necesara o evaluare a impactului -DPIA;
Crearea documentatiei n conformitate cu articolul 30 evidentele activitatilor de prelucrare a datelor cu caracter personal provenite din auditul fluxului de date si analiza diferentelor.
4. Realizarea unei analize detaliate a decalajelor (gap analysis)
Abordarea inteligenta a respectarii GDPR este aceea de a stabili ceea ce nu faceti deja - evaluati fluxurile de lucru, procesele si procedurile actuale - pentru a identifica lacunele pe care trebuie sa le completati.
Ce trebuie sa faceti:
Auditati situatia actuala de conformitate cu cerintele GDPR;
Identificati lacunele de conformitate care necesita remediere.
5. Elaborarea politicilor, procedurilor si proceselor operationale
Ce trebuie sa faceti:
Asigurati-va ca politicile de protectie a datelor si notificarile privind confidentialitatea sunt n concordanta cu GDPR;
Daca prelucrarea se bazeaza pe consimtamant, asigurati-va ca acordul, respectiv consimtamantul persoanei vizate corespunde cerintelor GDPR;
Revizuiti contractele angajatilor, clientilor si furnizorilor si actualizati-le, daca este necesar;
Planificati modul de recunoastere si tratare a cererilor de acces ale persoanelor vizate si furnizati raspunsuri in termenul impus de GDPR ( ntr-o luna calendaristica);
Efectuati o analiza pentru a determina daca este necesara o DPIA (Evaluarea Impactului asupra Protectiei Datelor);
Examinati daca mecanismele de transfer de date personale n afara UE/SEE sunt conforme cu cerintele GDPR.
6. Asigurarea securitatii datelor personale prin masuri procedurale si tehnice
GDPR cere organizatiilor sa puna n aplicare "masuri tehnice si organizatorice adecvate" pentru a se asigura ca datele cu caracter personal sunt prelucrate n mod corespunzator.
Ce trebuie sa faceti:
Sa aveti o politica de securitate a informatiilor;
Introduceti controale tehnice de baza, cum ar fi cele specificate de cadre stabilite, cum ar fi Cyber Essentials;
Utilizati criptarea si / sau pseudonimizarea, daca este cazul;
Asigurati-va ca exista politici si proceduri pentru detectarea, raportarea si investigarea ncalcarilor datelor cu caracter personal.
7. Comunicatii
Mentinerea conformitatii cu GDPR depinde n mare masura de personalul dvs. care trebuie sa inteleaga corect ce trebuie sa faca si de ce. Toti cei implicati n prelucrarea datelor personale trebuie instruiti corespunzator pentru a urma procesele si procedurile aprobate.
Ce trebuie sa faceti:
Respectarea GDPR este un proiect de schimbare a afacerii dumneavoastra - comunicarea interna eficienta cu partile interesate si cu personalul este esentiala;
Angajatii trebuie sa nteleaga importanta protectiei datelor personale. Acestia trebuie sa fie instruiti cu privire la principiile GDPR de baza si la procedurile implementate pentru a asigura conformitatea cu Regulamentul.
8. Monitorizarea si verificarea conformitatii
Compatibilitatea cu GDPR este un proiect n permanenta desfasurare - o calatorie mai degraba decat o destinatie. Ar trebui sa efectuati audituri interne periodice si sa va actualizati procesele de protectie a datelor personale, inclusiv verificarea nregistrarilor activitatilor de procesare si a consimtamantului, testarea controalelor de securitate a informatiilor si efectuarea DPIA.
Ce trebuie sa faceti:
Programati audituri regulate ale activitatilor de prelucrare a datelor personale si ale controalelor de securitate;
Mentineti actualizate evidenta activitatilor de prelucrare a datelor cu caracter personal;
Efectuati DPIA acolo unde este necesar.
Lista de verificare de mai jos prezinta cele opt domenii esentiale pe care ar trebui sa le verificati pentru a va asigura ca puteti demonstra conformitatea organizatiei dumneavoastra cu GDPR:
Stabilirea unui cadru de responsabilitate si guvernanta;
Stabilirea scopului si planificarea proiectului;
Efectuarea unui inventar de date si a unui flux de date;
Efectuarea unei analize detaliate a decalajelor (gap analysis);
Elaborarea politicilor, procedurilor si proceselor operationale;
Asigurarea securitatii datelor personale prin masuri procedurale si tehnice;
Comunicatii;
Monitorizarea si verificarea conformitatii
1. Stabilirea unui cadru de responsabilitate si guvernanta
Compatibilitatea cu GDPR necesita suport efectiv la nivelul board-ului companiei. Prin urmare, este esential ca board-ul sa nteleaga implicatiile Regulamentului - atat pozitive, cat si negative - astfel ncat sa poata aloca resursele necesare pentru atingerea si mentinerea conformitatii.
Ce trebuie sa faceti:
Recomandati board-ului riscurile si oportunitatile GDPR;
Obtineti sprijin pentru management pentru un proiect de conformitate cu GDPR;
Atribuirea unui director cu responsabilitate pentru GDPR;
Incorporarea riscului de protectie a datelor n cadrul managementului riscurilor corporative si al controlului intern.
2. Stabiliti scopul si planificati-va proiectul
Odata ce ati obtinut asistenta la cel mai nalt nivel, va trebui sa stabiliti ce domenii de business din organizatia dvs. se ncadreaza n domeniul de aplicare al GDPR si sa analizati care dintre abordarile existente ar putea fi afectate sau care ar putea contribui la eforturile dvs. de conformare.
Ce trebuie sa faceti:
Desemnati si instruiti un manager de proiect si numiti un responsabil cu protectia datelor (DPO), daca este necesar;
Identificati ce entitati vor fi n domeniul de aplicare al GDPR: unitati de afaceri, teritorii, jurisdictii etc .;
Identificati alte standarde sau sisteme de management care ar putea oferi un cadru de conformitate, de ex. implementarea standardului ISO 27001 demonstreaza ca respectati cele mai bune practici de gestionare a securitatii informatiilor;
Evaluarea principiului protectiei datelor prin proiectare si implicit (privacy by design, privacy by default) mpotriva proceselor si sistemelor actuale sau noi;
Luati n considerare eventual implicatiile Brexit n planificarea dumneavoastra.
3. Efectuati un inventar de date si un audit al fluxului de date
Este imposibil sa respectati cerintele de procesare a datelor impuse de GDPR daca nu ntelegeti pe deplin ce date procesati si cum le procesati.
Ce trebuie sa faceti:
Sa evaluati categoriile de date detinute, de unde provin si baza legala de prelucrare;
Transferarea fluxurilor de date catre, prin si din organizatia dvs.;
Utilizati harta de date pentru a identifica riscurile n activitatile dvs. de prelucrare a datelor si pentru a stabili daca este necesara o evaluare a impactului -DPIA;
Crearea documentatiei n conformitate cu articolul 30 evidentele activitatilor de prelucrare a datelor cu caracter personal provenite din auditul fluxului de date si analiza diferentelor.
4. Realizarea unei analize detaliate a decalajelor (gap analysis)
Abordarea inteligenta a respectarii GDPR este aceea de a stabili ceea ce nu faceti deja - evaluati fluxurile de lucru, procesele si procedurile actuale - pentru a identifica lacunele pe care trebuie sa le completati.
Ce trebuie sa faceti:
Auditati situatia actuala de conformitate cu cerintele GDPR;
Identificati lacunele de conformitate care necesita remediere.
5. Elaborarea politicilor, procedurilor si proceselor operationale
Ce trebuie sa faceti:
Asigurati-va ca politicile de protectie a datelor si notificarile privind confidentialitatea sunt n concordanta cu GDPR;
Daca prelucrarea se bazeaza pe consimtamant, asigurati-va ca acordul, respectiv consimtamantul persoanei vizate corespunde cerintelor GDPR;
Revizuiti contractele angajatilor, clientilor si furnizorilor si actualizati-le, daca este necesar;
Planificati modul de recunoastere si tratare a cererilor de acces ale persoanelor vizate si furnizati raspunsuri in termenul impus de GDPR ( ntr-o luna calendaristica);
Efectuati o analiza pentru a determina daca este necesara o DPIA (Evaluarea Impactului asupra Protectiei Datelor);
Examinati daca mecanismele de transfer de date personale n afara UE/SEE sunt conforme cu cerintele GDPR.
6. Asigurarea securitatii datelor personale prin masuri procedurale si tehnice
GDPR cere organizatiilor sa puna n aplicare "masuri tehnice si organizatorice adecvate" pentru a se asigura ca datele cu caracter personal sunt prelucrate n mod corespunzator.
Ce trebuie sa faceti:
Sa aveti o politica de securitate a informatiilor;
Introduceti controale tehnice de baza, cum ar fi cele specificate de cadre stabilite, cum ar fi Cyber Essentials;
Utilizati criptarea si / sau pseudonimizarea, daca este cazul;
Asigurati-va ca exista politici si proceduri pentru detectarea, raportarea si investigarea ncalcarilor datelor cu caracter personal.
7. Comunicatii
Mentinerea conformitatii cu GDPR depinde n mare masura de personalul dvs. care trebuie sa inteleaga corect ce trebuie sa faca si de ce. Toti cei implicati n prelucrarea datelor personale trebuie instruiti corespunzator pentru a urma procesele si procedurile aprobate.
Ce trebuie sa faceti:
Respectarea GDPR este un proiect de schimbare a afacerii dumneavoastra - comunicarea interna eficienta cu partile interesate si cu personalul este esentiala;
Angajatii trebuie sa nteleaga importanta protectiei datelor personale. Acestia trebuie sa fie instruiti cu privire la principiile GDPR de baza si la procedurile implementate pentru a asigura conformitatea cu Regulamentul.
8. Monitorizarea si verificarea conformitatii
Compatibilitatea cu GDPR este un proiect n permanenta desfasurare - o calatorie mai degraba decat o destinatie. Ar trebui sa efectuati audituri interne periodice si sa va actualizati procesele de protectie a datelor personale, inclusiv verificarea nregistrarilor activitatilor de procesare si a consimtamantului, testarea controalelor de securitate a informatiilor si efectuarea DPIA.
Ce trebuie sa faceti:
Programati audituri regulate ale activitatilor de prelucrare a datelor personale si ale controalelor de securitate;
Mentineti actualizate evidenta activitatilor de prelucrare a datelor cu caracter personal;
Efectuati DPIA acolo unde este necesar.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Analize si solutii GDPR
05Mar2019
​Operatiuni fiscal-contabile simple ce atrag consecinte complicate in sfera protectiei datelor cu caracter personal
de Colectivul de Specialisti Rentrop&Straton
05 Mar 2019
25Feb2019
​Responsabilitatea operatorilor pentru deciziile automate in cadrul GDPR
de Colectivul de Specialisti Rentrop&Straton
25 Feb 2019
20Ian2019
Scurta retrospectiva privind activitatea autoritatilor de supraveghere UE si practica GDPR pentru anul 2018
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
20Ian2019
Consimtamantul - obtinere, dovada, gestionare si revocare
de Laurentiu Petre
20 Ian 2019
20Ian2019
Inteligenta artificiala - un pericol pentru protectia datelor cu caracter personal sau un instrument de conformare la GDPR
de Colectivul de Specialisti Rentrop&Straton
20 Ian 2019
07Ian2019
10 sfaturi pentru manageri cu privire la GDPR
de Colectivul de Specialisti Rentrop&Straton
07 Ian 2019
Un produs marca