1. Preverite veljavnost obstoječih privolitev
Pri uredbi GDPR je pomembno, da podjetja pridobite izrecno privolitev posameznikov za obdelavo podatkov. Uredba zahteva, da posameznik, na katerega se nanašajo osebni podatki, svojo privolitev da z jasnim pritrdilnim dejanjem ali ustno izjavo. Stranka se mora zavedati, za kaj se bodo njeni osebni podatki obdelovali. Molk stranke, vnaprej označena okenca ali nedejavnost stranke ne pomenijo privolitve.
Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če podjetje že ima vaše soglasje, ki ni v skladu z uredbo, ga bo potrebno ponovno pridobiti.
2. Preverite način pridobivanja privolitev v bodoče
Ko upravljalec pridobi osebne podatke, mora biti posameznik, na katerega se nanašajo osebni podatki, ustrezno obveščen z namenom obdelave in se mora z namenom obdelave tudi izrecno strinjati. Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Namen je povezan z zakonitostjo obdelave. Če je namen dosežen in če ni druge podlage, na kateri upravljamo z osebnimi podatki, smo dolžni te podatke izbrisati.
3. Preverite in prilagodite popis zbirk osebnih podatkov – evidence dejavnosti
Vsak upravljavec vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Evidenca se vodi v pisni in okvirno v elektronski obliki. Ta evidenca vsebuje informacije o nazivu/ imenu upravljalca, namenu obdelave, vrsti osebnih podatkov, opisu kategorij posameznikov, na katere se nanašajo osebni podatki itd. V evidence se določijo tudi kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki.
4. Preglejte vaše postopke za zagotavljanje pravic posameznika
Posameznik, čigar z osebnimi podatki upravljate, ima pravico od upravljalca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, tudi dostop do osebnih podatkov.
Pravico se ima seznaniti, s kakšnim namenom se obdelujejo osebni podatki, kakšne vrste so osebni podatki ter katerim uporabnikom so bili ali jim bodo razkriti osebni podatki.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim (Pravica do popravka).
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim (Pravica do izbrisa).
5. Pripravite se na izvajanje načela odgovornosti
Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.
Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.
Obveznost upravljalca je tudi, da imenuje pooblaščeno osebo za varstvo podatkov in zagotovi, da bo pooblaščena oseba ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
6. Preglejte in prilagodite vaše varnostne politike in njihovo izvajanje in določite, kdo bo poročal v primeru varnostnega incidenta
Uredba nas zavezuje, da vpeljemo mehanizme zaznavanj o varnostnih incidentih. Ko nastopi varnostni incident – tako namerni kot storjen iz malomarnosti – moramo o dogodku poročati nadzornemu organu in informacijskemu pooblaščencu v 72 urah. Nemudoma je treba o dogodku obvestiti tudi osebo, ki je bila z varnostnim incidentom prizadeta.
7. Kdo vam lahko pri prenosu uredbe pomaga?
Pomembno je, da izberemo pravega ponudnika za svetovanje in pomoč pri doseganju skladnosti z uredbo GDPR. Ne gre zgolj za pravna, ampak tudi za tehnična pravila in varnostne rešitve.
