Conformitate GDPR la cel mai înalt nivel

Întocmire documentație și implementare

După finalizarea auditului de conformitate GDPR, următorii pași includ remedierea neconformităților și implementarea documentației pentru a asigura conformitatea pe termen lung.

1.

Revizuirea constatărilor auditului

Se analizează constatările din audit pentru a identifica domeniile unde este necesară documentație suplimentară sau actualizată. Aceste constatări pot include lipsa unor politici, procese incomplete sau lipsa dovezilor de conformitate.

2.

Identificarea documentelor necesare

În această etapă se identifică documentele esențiale care trebuie întocmite sau actualizate:

Politica de confidențialitate: Aceasta trebuie să reflecte modul în care organizația prelucrează datele cu caracter personal și să fie clară și accesibilă pentru persoanele vizate.

Registrele de evidență a prelucrărilor de date: Actualizarea registrelor pentru a include toate activitățile de prelucrare, scopul acestora, tipurile de date prelucrate și măsurile de securitate.

Politici interne și proceduri: Crearea sau actualizarea politicilor de protecție a datelor, procedurile de gestionare a cererilor de acces, notificarea încălcărilor de securitate și evaluările de impact (DPIA).

Contractele cu procesatorii de date: Revizuirea și includerea clauzelor specifice GDPR care reglementează responsabilitățile părților în ceea ce privește prelucrarea datelor cu caracter personal.

3.

Crearea sau actualizarea documentației necesare

Politica de prelucrare a datelor: Se elaborează sau actualizează politica organizației privind protecția datelor, care include principiile GDPR, drepturile persoanelor vizate și procedurile interne.

 

Plan de răspuns la incidente: Se dezvoltă sau îmbunătățește un plan pentru gestionarea rapidă și eficientă a încălcărilor de securitate a datelor, inclusiv notificarea autorităților competente și a persoanelor vizate.

 

Instruirea angajaților: Se creează materiale de instruire care să includă normele GDPR, responsabilitățile angajaților și studii de caz practice.

 

Politici de păstrare și ștergere a datelor: Se elaborează politici care reglementează durata păstrării datelor și procedurile de ștergere a acestora conform principiului limitării stocării.

4.

Implementarea documentației

Comunicarea politicilor: Noile politici și proceduri trebuie comunicate tuturor angajaților implicați în prelucrarea datelor.

 

Integrarea în procesele zilnice: Politicile și procedurile trebuie integrate în activitățile organizației. De exemplu, echipele responsabile cu gestionarea cererilor persoanelor vizate trebuie să implementeze proceduri clare în activitatea lor.

 

Implementarea suportului tehnic: Se pot implementa soluții tehnice, cum ar fi criptarea datelor, monitorizarea accesului sau back-up-urile regulate pentru a asigura protecția adecvată a datelor.

5.

Evaluarea și actualizarea continuă

Monitorizarea: După implementarea documentației, se stabilește un proces de monitorizare continuă pentru a evalua eficiența măsurilor de conformitate.

 

Audituri periodice: Se recomandă audituri interne pentru a verifica dacă documentația și procesele rămân conforme.

 

Actualizarea documentației: În funcție de evoluția legislației sau a modificărilor în activitățile organizației, documentația trebuie revizuită și actualizată.

6.

Implicarea responsabilului cu protecția datelor (DPO)

Rolul DPO-ului: Responsabilul cu protecția datelor (DPO) trebuie să fie implicat în fiecare etapă, asigurându-se că toate politicile și procedurile respectă cerințele GDPR. DPO-ul va monitoriza conformitatea și va oferi consiliere continuă pentru a menține organizația la standardele necesare.

7.

Documente necesare pentru implementarea conformității GDPR

Decizie internă: desemnarea ofițerului de protecția datelor (DPO).

Termeni și definiții GDPR.

Proceduri și politici:

  • Procedura de gestionare a cererilor persoanelor vizate.
  • Procedura de gestionare a încălcării securității datelor cu caracter personal.

Acorduri/Informări: Modele pentru consimțământ și informări către persoanele vizate.

Training personal: Materiale pentru formarea angajaților.

Registre:

  • Registrul de evidență a mijloacelor de prelucrare informatică a D.C.P.
  • Registrul de evidență a documentelor pe suport de hârtie a D.C.P.
  • Registrul de evidență a persoanelor care au acces la D.C.P.
  • Registrul de evidență a scoaterii/introducerii a mijloacelor hardware.
  • Registrul de evidență a breșelor de securitate.

Fișă de evidență pentru prelucrarea D.C.P.

Regulamentul intern privind prelucrarea D.C.P.

Aceste măsuri asigură că organizația nu doar își rezolvă neconformitățile, dar și că își construiește un cadru solid pentru conformitate pe termen lung.