GDPR CHECKLIST

Цей checklist, розроблений BSO Privacy Group, допоможе вам зрозуміти, чи здійснила ваша компанія необхідні кроки для того, щоб адаптувати свою діяльність до вимог GDPR.

Інформацію, відображену на цій сторінці не слід інтерпретувати як офіційну юридичну консультацію, а лише як індивідуальне бачення вирішення питання, пов’язаного із захистом персональних даних.

ВНУТРІШНЄ УПРАВЛІННЯ

  • В рамках компанії здійснено детальну інвентаризацію персональних даних, які використовуються компанією.
  • Визначено осіб, відповідальних за обробку персональних даних, а також межі їх компетенції.
  • Визначено, які технічні та організаційні заходи повинні бути вжиті для того, щоб відповідати вимогам GDPR.
  • Визначено законні підстави для обробки персональних даних.
  • Згода на обробку персональних даних надається суб’єктами даних у відповідності до вимог законодавства ЄС (якщо дані оброблюються на підставі пункту (а) статті 6(1) GDPR).
  • Компанія може продемонструвати наявність своїх законних інтересів (якщо дані оброблюються на підставі пункту (f) статті 6(1) GDPR).
  • Компанія має розроблену Privacy Policy, яка відповідає вимогам GDPR.
  • В рамках компанії, на постійній основі, здійснюється моніторинг відповідності документів вимогам GDPR.
  • В рамках компанії проводить регулярне навчання працівників щодо питань забезпечення безпеки обробки персональних даних.

ЗАБЕЗПЕЧЕННЯ ПРАВ

  • Інформація про обробку персональних даних надається суб’єктам даних в зрозумілому, легко доступному та прозорому вигляді, використовуючи зрозумілу суб’єкту даних мову.
  • Компанія забезпечує належний технічний доступ суб’єктів даних до їхніх персональних даних в рамках реалізації права на доступ до даних.
  • Компанія надає можливість відкликати свою згоду на обробку персональних даних в такій же манері, як ця згода була отримана.
  • Компанія забезпечила можливість дітям ( якщо компанія оброблює персональні дані дітей) реалізувати всі їхні права, які передбачені GDPR.
  • Компанія забезпечила можливість суб’єктам даних реалізовувати свої права, які визначені GDPR, зокрема, право на видалення даних, право на обмеження обробки даних, права на виправлення даних, право на заборону обробки даних, право на передачу даних, а також право на заперечення обробки даних виключно автоматичним способом.

СПІВПРАЦЯ З КОНТРАГЕНТАМИ

  • Визначено, з якими контрагентами компанія співпрацює та яку роль виконує кожен з контрагентів (контролер, обробник).
  • Проведено аналіз взаємовідносин з визначеними контрагентами, в рамках обробки персональних даних, а також встановлено ступінь відповідності контрагентів вимогам GDPR.
  • Розроблені всі необхідні документи та договори для співпраці з контрагентами, які виконують роль контролерів, в рамках обробки персональних даних.
  • Розроблені всі необхідні документи та договори для співпраці з контрагентами, які виконують роль обробників, в рамках обробки персональних даних.

ПЕРЕДАЧА ДАНИХ

  • Визначено, в які країни передаються персональні дані
  • Вжиті всі заходи щодо забезпечення безпеки передачі персональних даних особам, які знаходяться в третіх країнах.

ІНФОРМАЦІЙНА БЕЗПЕКА

  • Компанія має в наявності ефективну Information security Policy.
  • Компанія має в наявності ефективні процедури для реагування, управління та усунення випадків порушення інформаційної безпеки

РИЗИКИ ТА ПОРУШЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ

  • Компанія здійснила аналіз впливу на захист персональних даних (DPIA)
  • Компанія має в наявності всі необхідні процедури, які забезпечують належне ефективне управління ризиками та оперативне реагування на них.
  • Розроблені всі необхідні процедури для вчасного реагування, управління та усунення порушень персональних даних.

DATA PROTECTION OFFICER

  • Компанія призначила Data Protection Officer (DPO), на виконання вимог секції 4 розділу 4 GDPR.

У випадку надання позитивних відповідей навпроти кожного з блоків, які можуть бути застосовані до діяльності вашої компанії, слід вважати, що ваша компанія знаходиться на вірному шляху реалізації проекту на відповідність вимогам GDPR.

Якщо ж ви вагаєтеся, що вашою компанією вжитті всі ті заходи, які відображені у відповідних блоках, вам слід зосередитися на тому, щоб доопрацювати або ж розробити нові заходи, для забезпечення відповідності вимогам GDPR.

Разом з тим, слід розуміти, що вжиття всіх передбачених вище заходів не буде гарантією того, що діяльність вашої компанії повністю відповідає вимогам європейського законодавства щодо захисту персональних даних, поки ви не отримаєте належного підтвердження належності всіх вжитих заходів законним вимогам.

В будь-якому випадку, кожна компанія потребує індивідуального підходу до вирішення питання відповідності вимогам GDPR, що може відображатися у здійсненні додаткових організаційних та технічних заходів. Саме тому, забезпечення підготовки компанії вимогам в рамках захисту персональних даних, варто доручити практикуючим професіоналам компанії BSO Privacy Group, які якісно та оперативно допоможуть реалізувати ваш проект.