Этот checklist, разработанный BSO Privacy Group, поможет вам понять, осуществила ли ваша компания необходимые шаги для того, чтобы адаптировать свою деятельность к требованиям GDPR.
Информацию, отраженную на этой странице не следует интерпретировать как официальную юридическую консультацию, а только как индивидуальное видение решения вопроса, связанного с защитой персональных данных.
Внутреннее управление
- В рамках компании осуществлено детальную инвентаризацию персональных данных, которые используются компанией.
- Определение лиц, ответственных за обработку персональных данных, а также пределы их компетенции.
- Определенные технические и организационные меры должны быть приняты для того, чтобы соответствовать требованиям GDPR.
- Определение законных оснований для обработки персональных данных.
- Согласие на обработку персональных данных предоставляется субъектами данных в соответствии с требованиями законодательства ЕС (если данные обрабатываются на основании пункта (а) статьи 6 (1) GDPR).
- Компания может продемонстрировать наличие своих законных интересов (если данные обрабатываются на основании пункта (f) статьи 6 (1) GDPR).
- Компания разрабатывает свою Privacy Policy, которая соответствует требованиям GDPR.
- В рамках компании, на постоянной основе, осуществляется мониторинг соответствия документов требованиям GDPR.
- В рамках компании проводит регулярное обучение работников по вопросам обеспечения безопасности обработки персональных данных.
Обеспечение прав
- Информация об обработке персональных данных предоставляется субъектам данных в понятном, легко доступном и прозрачном виде, используя понятный субъекту язык.
- Компания обеспечивает надлежащий технический доступ субъектов к данным в их персональных данных в рамках реализации права на доступ к данным.
- Компания предоставляет возможность отозвать свое согласие на обработку персональных данных в такой же манере, как это согласие было получено.
- Компания обеспечила возможность детям (если компания обрабатывает персональные данные детей) реализовать все их права, предусмотренные GDPR.
- Компания обеспечила возможность субъектам данных реализовывать свои права, определенные GDPR, в частности, право на удаление данных, право на ограничение обработки данных, права на исправление данных, право на запрет обработки данных, право на передачу данных, а также право на возражение обработки данных исключительно автоматическим способом.
Сотрудничество с контрагентом
- Определено, с которыми контрагентами компания сотрудничает и какую роль выполняет каждый из контрагентов (контроллер, обработчик).
- Проведен анализ взаимоотношений с определенными контрагентами, в рамках обработки персональных данных, а также установлена степень соответствия контрагентов требованиям GDPR.
- Разработаны все необходимые документы и договора для сотрудничества с контрагентами, которые выполняют роль контролеров, в рамках обработки персональных данных.
Передача данных
- Определено, в какие страны передаются персональные данные.
- Приняты все меры по обеспечению безопасности передачи персональных данных лицам, находящимся в третьих странах.
Информационная безопасность
- Компания имеет в наличии эффективную Information security Policy.
- Компания имеет в наличии эффективные процедуры для реагирования, управления и устранения случаев нарушения информационной безопасности.
Риски и нарушение персональных данных
- Компания осуществила анализ влияния на защиту персональных данных (DPIA)
- Компания имеет в наличии все необходимые процедуры, которые обеспечивают надлежащее эффективное управление рисками и оперативное реагирование на них.
- Разработаны все необходимые процедуры для своевременного реагирования, управления и устранения нарушений персональных данных.
DATA PROTECTION OFFICER
- Компания назначила Data Protection Officer (DPO), во исполнение требований секции 4 раздела 4 GDPR.
В случае предоставления положительных ответов напротив каждого из блоков, которые могут быть применены к деятельности вашей компании, следует считать, что ваша компания находится на верном пути реализации проекта на соответствие требованиям GDPR.
Вместе с тем, следует понимать, что принятие всех предусмотренных выше мер не будет гарантией того, что деятельность вашей компании полностью соответствует требованиям европейского законодательства по защите персональных данных, пока вы не получите должного подтверждения принадлежности всех принятых мер законным требованиям.
Если же вы сомневаетесь, что вашей компанией приняты все те меры, которые отражены в соответствующих блоках, вам следует сосредоточиться на том, чтобы доработать или разработать новые меры для обеспечения соответствия требованиям GDPR.
В любом случае, каждая компания нуждается в индивидуальном подходе к решению вопроса соответствия требованиям GDPR, что можно представить в осуществлении дополнительных организационных и технических мероприятий. Именно поэтому, обеспечения подготовки компании требованиям в рамках защиты персональных данных, стоит поручить практикующим профессионалам компании BSO Privacy Group, которые качественно и оперативно помогут реализовать ваш проект.
