Galvenie soļi veiksmīgai atbilstībai GDPR

1. Izprotiet GDPR prasības

Pamatprincipu analīze

Pirms atbilstības nodrošināšanas uzsākšanas ir svarīgi izprast GDPR pamatprincipus:

• • Likumība, lojalitāte un pārredzamība : dati ir jāapstrādā likumīgi, godprātīgi un pārredzami.
  • Mērķu ierobežojums dati ir jāvāc konkrētiem, skaidriem un likumīgiem mērķiem.
  • Datu minimizēšana jāvāc tikai nepieciešamie dati.
  • Precizitāte Datiem jābūt precīziem un atjauninātiem.
  • Saglabāšanas ierobežojumi Dati nedrīkst tikt glabāti ilgāk, nekā nepieciešams.
  • Integritāte un konfidencialitāte dati ir jāapstrādā tā, lai tiktu nodrošināta to drošība.

Izpratnes kontrolsaraksts

• Iepazīstieties ar GDPR galvenajiem pantiem.
• Izprast datu subjektu tiesības (tiesības uz piekļuvi datiem, to labošanu, dzēšanu utt.).
• Zināt datu pārziņu un apakšuzņēmēju pienākumus.

2. Iecelt datu aizsardzības speciālistu (DPO)

Datu aizsardzības speciālista loma

Datu aizsardzības speciālistam ir izšķiroša loma GDPR atbilstības nodrošināšanā. Viņš ir atbildīgs par datu aizsardzības stratēģiju pārraudzību un atbilstības GDPR prasībām nodrošināšanu.

DAS iecelšanas kontrolsaraksts

• Nosakiet, vai jūsu uzņēmumam ir obligāti jāieceļ datu aizsardzības speciālists (atkarībā no apstrādes apjoma un rakstura).
• Iecelt datu aizsardzības speciālistu ar specializētām zināšanām datu aizsardzības tiesību un prakses jomā.
• Informēt un apmācīt datu aizsardzības speciālistu par konkrētiem pienākumiem, kas saistīti ar GDPR.
• Paziņot datu aizsardzības speciālista kontaktinformāciju datu aizsardzības iestādei un sabiedrībai.

3. Datu kartēšana

Datu audits

Visaptveroša datu audita veikšana palīdz saprast, kādi dati tiek vākti, kā tie tiek izmantoti un kas tiem var piekļūt.

Datu audita piemērs

• • Datu identifikācija : vārds, uzvārds, adrese, e-pasts, veselības dati utt.
  • Datu avoti tiešsaistes veidlapas, CRM datubāzes utt.
  • Datu izmantošana : mārketings, klientu apkalpošana, personāla vadība utt.
  • Datu koplietošana : ar kuriem partneriem vai pakalpojumu sniedzējiem.

Kartēšanas kontrolsaraksts

• Identificējiet visus apstrādātos personas datus.
• Dokumentu datu plūsmas (ievade, apstrāde, izvade).
• Regulāri atjauniniet datu kartējumu.

4. Novērtējiet riskus un ieviesiet drošības pasākumus

Riska novērtējums

Analizēt ar personas datu apstrādi saistītos riskus, lai nodrošinātu to aizsardzību.

Riska novērtējuma piemērs

• Risks : neatļauta piekļuve sensitīviem datiem.
• Iespējamā ietekme Konfidencialitātes zaudēšana, reputācijas bojāšana.
• Preventīvie pasākumi datu šifrēšana, spēcīga autentifikācija.

Drošības pārbaudes saraksts

• Veikt datu aizsardzības ietekmes novērtējumu (DPIA) augsta riska apstrādei.
• Ieviest tehniskus (šifrēšana, ugunsmūri) un organizatoriskus (privātuma politikas) drošības pasākumus.
• Ieviest procedūras datu pārkāpumu atklāšanai, ziņošanai un pārvaldībai.

5. Atjauniniet privātuma politikas un līgumus

Privātuma politikas

Privātuma politikām jābūt pārredzamām un saprotamām, informējot lietotājus par to, kā tiek apstrādāti viņu dati.

Konfidencialitātes politikas atjauninājuma piemērs

• Pirms : “Mēs apkopojam jūsu datus, lai uzlabotu mūsu pakalpojumus.”
• Pēc : “Mēs apkopojam jūsu vārdu, uzvārdu, adresi un e-pasta adresi, lai personalizētu jūsu pieredzi un sniegtu jums pielāgotus piedāvājumus. Jūsu dati tiks glabāti 2 gadus.”

Atjaunināšanas kontrolsaraksts

• Pārskatiet un atjauniniet privātuma politikas, lai nodrošinātu to atbilstību GDPR prasībām.
• Nodrošiniet, lai politikās būtu skaidri izskaidrotas lietotāju tiesības un to īstenošanas veids.
• Atjauniniet līgumus ar apakšuzņēmējiem, iekļaujot GDPR atbilstības klauzulas.

6. Iegūstiet lietotāja piekrišanu

Skaidra piekrišana

Lietotāja piekrišanai ir jābūt brīvai, konkrētai, informētai un nepārprotamai.

Piekrišanas vākšanas piemērs

• Pirms : iepriekš atzīmēta izvēles rūtiņa jaunumu saņemšanai.
• Pēc : neatzīmēta rūtiņa ar skaidru skaidrojumu: “Es vēlos saņemt jaunumus no [uzņēmuma nosaukums].”

Piekrišanas kontrolsaraksts

• Nodrošiniet, lai katram konkrētajam mērķim tiktu sniegta nepārprotama piekrišana.
• Reģistrēt un saglabāt piekrišanas apliecinājumu.
• Ļaut lietotājiem viegli atsaukt savu piekrišanu.

7. Apmācīt darbiniekus

Informētība un apmācība

Visiem darbiniekiem ir jāapzinās GDPR saistības un jāapmāca laba datu aizsardzības prakse.

Apmācības programmas paraugs

• Apmācības sesija : ievads GDPR, indivīda tiesības, uzņēmuma pienākumi.
• Praktisks vingrinājums : scenāriji datu piekļuves un labošanas pieprasījumu pārvaldībai.

Apmācības kontrolsaraksts

• Izstrādāt katrai nodaļai pielāgotu GDPR apmācību programmu.
• Organizēt regulāras apmācības un informatīvas sesijas.
• Novērtējiet iegūto zināšanu izpratni un pielietošanu.

8. Izveidot procedūras indivīdu tiesību pārvaldībai

Tiesību pārvaldība

Uzņēmumiem ir jābūt procedūrām, lai efektīvi pārvaldītu pieprasījumus par fizisko personu tiesību īstenošanu (piekļuve, labošana, dzēšana, pārnesamība utt.).

Tiesību pārvaldības piemērs

• Piekļuves tiesības : atbilde uz pieprasījumu par piekļuvi datiem 30 dienu laikā.
• Tiesības uz labojumiem : neprecīzu datu labošana 15 dienu laikā.

Tiesību pārvaldības kontrolsaraksts

• Izveidojiet sistēmu pieprasījumu saņemšanai un apstrādei no indivīdiem.
• Nodrošināt ātru un pilnīgu atbilžu sniegšanu uz pieprasījumiem.
• Dokumentējiet visus pieprasījumus un sniegtās atbildes.

9. Nepārtraukti uzraudzīt un pārskatīt

Regulāra revīzija

Atbilstība GDPR nav vienreizēja darbība, bet gan nepārtraukts process, kam nepieciešamas regulāras revīzijas.

Audita plāna paraugs

• Ceturkšņa audits konfidencialitātes politikas ieviešanas pārbaude, drošības pasākumu pārskatīšana.
• Gada audits : vispārējs GDPR atbilstības novērtējums, procesa atjaunināšana.

Nepārtrauktas revīzijas kontrolsaraksts

• Plānot un veikt regulāras iekšējās revīzijas.
• Labot konstatētās neatbilstības un uzlabot procesus.
• Atjaunināt politikas un procedūras atbilstoši likumdošanas un tehnoloģiskajām izmaiņām.