Фаза 1. Определяне на екип и предварително проучване.
а. Ръководството на Администратора/Обработващия определя екип от служители, състоящ се от няколко специалисти в различни функционални области, който работи заедно с експертите от Европейски център по законодателство в процеса на изпълнение на заложените дейности.
б. Предоставяне от страна на Администратора/Обработващия за проучване на вътрешнонормативни документи.
в. Запознаване със спецификата на работните процеси в организацията на Администратора/Обработващия, свързани с обработката на лични данни.
Фаза 2. Анализ на процесите по обработка на лични данни /GAP анализ/.
а. Изработване на индивидуални анкетни карти, разделени на функционални области, с цел да се установи текущото състояние на правилата и процедурите по обработване на лични данни във всяка конкретна дейност и процес.
б. Обработка и анализ на попълнените индивидуални анкетни карти.
Фаза 3. Анализ и оценка на риска.
а. Идентифициране на рисковете при обработка на лични данни вследствие на извършения вътрешен одит на потока на данни.
б. Оценка на въздействието и залагане на конкретни мерки с цел намаляване, избягване или премахване на риска.
в. Обсъждане на изготвения анализ и оценка на въздействието с отговорния екип от Администратора/Обработващия.
Фаза 4. Изготвяне на План за действие за въвеждане на определените технически и организационни мерки.
а. Изготвяне на план за действие.
б. Обсъждане на изготвения план за действие с отговорния екип от Администратора/Обработващия.
Фаза 5. Разработване на вътрешнонормативни документи, вътрешни процедури и механизми за отчетност.
а. Разработване на правила /в т. ч. вътрешнонормативни документи/ и актуализиране на съществуващите нормативни документи във връзка с обработването на лични данни при установена необходимост.
б. Разработване на вътрешни процедури за обработване на данни, предоставяне на информация на субектите на данните и практическото упражняване на правата на субектите на данни.
в. Разработване на контролни механизми и механизми за отчетност и известяване в съответствие с GDPR.
Фаза 6. Обучение на служителите.
Обучение на служителите на администрацията при внедряване на правилата, процедурите, вътрешните контроли, организацията на работа и отчетността за изпълнение на изискванията на GDРR и привеждане в пълно съответствие с Регламента.