Анализ на процесите по обработка на лични данни и оценка на риска.
♦ Извършване на анализ на дейностите по обработване на личните данни и прилаганите мерки за сигурност / GAР анализ/.
Извършване на оценка както на действащите процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваната обработка на такива данни с помощта на ИТ средства. В рамките на анализа се установява какви категории лични данни и на какви категории физически лица (независимо от тяхното гражданство) се обработват, за какви конкретни цели се събират, съхраняват и обработват личните данни, на кого се предоставят или разкриват личните данни извън организацията, колко време се съхраняват личните данни в организацията и как е определен този срок, какви мерки за сигурност се прилагат за защита на данните.
♦ Извършване на дейности по управление на риска по отношение на защитата на личните данни.
Извършване на оценка на риска при обработването на лични данни, а при необходимост и оценка на въздействието, която в определени случаи включва и задължителна консултация с Комисията за защита на личните данни, и предприемане на мерки за защита на данните на етапа на проектирането и по подразбиране.
♦ Изготвяне на План за действие за въвеждане на определените технически и организационни мерки.
В плана се определят мерките, отговорните лица, сроковете и етапите за изпълнение, както и необходимите финансови, технически и човешки ресурси.
Разработване на вътрешнонормативни документи, вътрешни процедури и механизми за отчетност.
♦ Преглед на правните основания за обработване на лични данни, включително въз основа на съгласие на лицата и предлагане на необходимите мерки.
Преглед на използваните до момента алтернативни правни основания за обработване на лични данни, преценка дали е законосъобразно и целесъобразно обработването на лични данни и дали е на основание единствено съгласието на лицето, документиране на съгласието с цел доказване пред Комисията за защита на личните данни и съда (декларации и др.).
♦ Създаване на вътрешни процедури за практическо упражняване на правата на субектите на данни и за уведомяване за нарушение на сигурността на личните данни.
Разработване на вътрешни процедури за приемане, разглеждане и отговаряне в едномесечен срок на искания от физически лица за упражняване на правата им като субекти на лични данни и създаване на организация за прилагането им на практика. Приемане на вътрешна процедура и/или план за действие в случай на нарушение на сигурността на личните данни и на вътрешна организация за своевременно уведомяване на КЗЛД в срок до 72 часа от узнаването за нарушението.
♦ Консултиране за начина и формата за предоставяне на информация на субектите на данните и прозрачност на обработването.
Предоставяне на обобщена, кратка и разбираема информация чрез интернет страницата на Администратора/Обработващия или по друг достъпен за субектите на данни начин за обработване на данните, информация за правата /право на достъп, коригиране или изтриване на лични данни, ограничаване на обработването, възражение срещу обработването и реда за обжалване/ и данни за контакт с Администратора/Обработващия и Длъжностното лице по защита на данните във връзка с обработване на лични данни. Информиране по подходящ начин на служителите, в случай че се извършва видеонаблюдение на работното място и се следят средствата за електронна комуникация на работното място.
♦ Извършване на дейности във връзка с документиране и отчетност.
Създаване на вътрешен регистър на дейностите по обработване на лични данни, Вътрешна инструкция/правила/процедури/политика за защита на личните данни, преглед и при нужда актуализиране на декларациите или другите форми за документиране на съгласието на субекта на данните.