A legalapvetőbb amit ellenőriznünk kell, hogy a lefontosabb 3 területet: adminisztratív (jog), üzleti folyamat átalakítás, informatika lefedte-e a felkészülési folyamat.
A leglátványosabban és a legkönnyebben mérhető az adminisztratív felkészülés ellenőrzése.
50-80 közötti adminisztratív megfelelési kötelezettséget tartalmaz a GDPR rendelet, az adatkezelési tevekénységtől függően. Az adatkezelési tájékoztató formáját és szövegezésének hangnemét nem írja elő a rendelet, de a tartalmára számos elvárást fogalmaz meg. A GDPR rendelet 12, 13, 14 és 34-es cikkei kifejezetten a tájékoztatási kötelezettségeket tartalmazzák. Ezen felül további utalások vannak a 15-22 cikkekre.
Újabb adminisztratív követelményeket fogalmaz meg a rendelet a különleges adatokat kezelők számára, az egyik legfontosabb az adatvédelmi tisztviselő kinevezése és bejelentése a hatóság számára.
Az adminisztratív elvárásokon felül a kockázatokkal arányos mértékben szabályozni szükséges az adatkezelési tevekénységeket. A szabályzás történhet írásban egy szabályzat kiadásával, vagy egyéb módon akár szóban is.
Mindenképpen javasoljuk az írásos formát és annak dokumentált közzétételét a szervezetben.
Az informatikai információbiztonsági felkészülés a legutolsó szokott lenni, de ezen a területen is igen sok tennivaló van. A szervezési intézkedések amelyeket a GDPR rendelet 32. cikke elvár az minimálisan egy információbiztonsági szabályzat kialakítását és a informatikai rendszer e szerinti működtetéstét jelenteni. Tűzfal , vírusírtó, adatmentés bevezetést és tesztelését. A szervezet adatvagyonának azonosítását, ezen belül a személyes adatok megkülönböztetését és adminisztrálását, valamint a hozzáférések kontrolálását kellene megvalósítani.
Akik legalább az első adminisztratív területnek szeretnének megfelelni azoknak ajánljuk a GDPR kockázatelemző rendszerünket. Itt többet olvashat róla.
Comments