Описание на услугите за съответствие с ОРЗД

Анализ на процесите по обработка на лични данни и оценка на риска.

♦  Извършване на анализ на дейностите по обработване на личните данни и прилаганите мерки за сигурност / GAР анализ/.
Извършване на оценка както на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. В рамките на анализа се установява какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват, за какви конкретни цели се събират, съхраняват и обработват личните данни, на кого се предоставят или разкриват личните данни извън организацията, колко време се съхраняват личните данни в организацията и как е определен този срок, какви мерки за сигурност се прилагат за защита на данните.

♦  Извършване на дейности по управление на риска по отношение на защитата на личните данни.
Извършване на оценка на риска при обработването на лични данни, а при необходимост и оценка на въздействието, която в определени случаи включва и задължителна консултация с Комисията за защита на личните данни, и предприемане на мерки за защита на данните на етапа на проектирането и по подразбиране.

♦  Изготвяне на План за действие за  въвеждане на определените технически и организационни мерки.
В плана се определят мерките, отговорните лица, сроковете и етапите за изпълнение, както и необходимите финансови, технически и човешки ресурси.

Разработване на вътрешнонормативни документи, вътрешни процедури и механизми за отчетност.

♦  Преглед на правните основания за обработване на лични данни, включително въз основа на съгласие на лицата и предлагане на необходимите мерки.
Преглед на използваните до момента алтернативни правни основания за обработване на лични данни, преценка дали е законосъобразно и целесъобразно обработването на лични данни и дали е на основание единствено съгласието на лицето, документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда (декларации и др.).

♦  Създаване на вътрешни процедури за практическо упражняване на правата на субектите на данни и за уведомяване за нарушение на сигурността на личните данни.
Разработване на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика. Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни и на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.

♦  Консултиране за начина и формата за предоставяне на информация на субектите на данните и прозрачност на обработването.
Предоставяне на обобщена, кратка и разбираема информация чрез интернет страницата на Администратора/Обработващия или по друг достъпен за субектите на данни начин за обработване на данните, информация за правата /право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването и реда за обжалване/ и данни за контакт с Администратора/Обработващия и Длъжностното лице по защита на данните във връзка с обработване на лични данни. Информиране по подходящ начин на служителите, в случай че се извършва видеонаблюдение на работното място и се следят средствата за електронна комуникация на работното място.

♦  Извършване на дейности във връзка с документиране и отчетност.
Създаване на вътрешен регистър на дейностите по обработване на лични данни, Вътрешна инструкция/правила/процедури/политика за защита на личните данни, преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните.

Съдействие, включително обучение на служителите на администрацията при внедряване на правилата, процедурите, вътрешните контроли, организацията на работа и отчетността за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с Регламента.