- Instruire angajați. Conform Principiul Pareto, 80% din efecte sunt produse de 20% din cauze. Aplicând acest principiu în GDPR, putem estima că 80% din probleme de securitate ale unei companii se datorează neglijenței a 20% dintre angajați. Drept urmare, toți angajații unui operator trebuie sa fie conștienți de riscurile pe care prelucrarea datelor le implică și să-și însușească procedurile și regulamentele companiei cu privire la protecția datelor, adică să acționeze responsabil si informat.
- Analiza inițială, GAP anaysis, sau auditul prelucrărilor și IT, indiferent cum o numim, este o etapă peste care o implementare GDPR nu poate să treacă. Fără aceasta analiza, efectuată de personal cu expertiza în juridic și IT, nu avem cum să depistam disfuncționalitățile și riscurile din procesele companiei și, prin urmare, nu vom reuși sa dispunem măsuri corective coerente.
- Evaluarea riscurilor. Odată identificate riscurile acestea trebuie analizate, ierarhizate in funcție de nivelul de risc, în vederea aplicării de măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. (Responsabilitatea operatorului art. 24 (1) din GDPR)
- Inventarierea datelor și a fluxurilor de date. Fără a cunoaște input-ul și output-ul datelor sau fluxurile intra și extra organizaționale, implementarea GDPR-ului nu va fi completă. Pentru a optimiza procedurile de lucru astfel încât acestea să corespundă principiilor care stau la baza GDPR-ului, este necesara aceasta cartografiere. Mai exact este o harta a datelor și a prelucrărilor pentru a putea identifica cu ușurință unde sunt datele în momentul T1 și cine se face responsabil de prelucrarea lor, în acel moment.
- Evaluarea impactului asupra protecției datelor (DPIA). Atunci când un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul are obligația de a efectua, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare (art 35 din GDPR).
- Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit. Spre exemplu, dacă ești dezvoltator software, produsul tău trebuie să fie proiectat să respecte GDPR-ul și să păstreze această calitate pe toată durata de viata a produsului.
- Evaluarea consimțământului. Dacă nu ai identificat un alt temei de prelucrare și ești obligat să te bazezi pe consimțământul persoanei vizate atunci trebuie să te asiguri că acesta este valid în momentul obținerii, poate fi gestionat cu ușurință și poate fi retras în orice moment. Grupul de lucru pe art. 29 a emis strict criteriile pe care trebuie sa le îndeplinească un consimțământ pentru a fi valid.
- Evaluarea interesului legitim. Evaluarea necesității existenței unui interes legitim care să justifice prelucrarea datelor este este de fapt un test al echilibrului. Mai exact, trebuie luat în considerare impactul asupra intereselor, drepturilor și libertăților persoanelor și analizat dacă acesta are prioritate față de interesele legitime ale Operatorului.
- Evaluarea conformității împuterniciților. Atunci când împuternicești alți operatori să prelucreze datele pe care tu le deții, trebuie să te asiguri că acesta va sigura o protecție adecvata în ceea ce privește prelucrările de date personale. Daca acesta va fi subiectul unei breșe tu vei răspunde în fața persoanelor ale căror date le-ai colectat.
Rezultatele acestor etape trebuiesc transpuse în practici și politici care vor constitui fundamentul organizațional al unei companii.
Ghid pus la dispozitie de : https://ascpd.ro/campanii-de-informare/