Trin 1: Bevidsthed.
Organisationer skal sikre, at de relevante personer er opmærksomme på de nye ændringer, som GDPR har medført. Disse personer skal vurdere, hvordan GDPR vil påvirke de nuværende processer, tjenester og produkter, samt hvad der skal ændres for at overholde GDPR. Denne vurdering bør igangsættes hurtigst muligt på grund af GDPRs kompliceret krav og dyre sanktioner for manglende overholdelse.
Trin 2: Risikovurdering.
Bestræbelserne på at gennemføre GDPR-kravene vil være høje; Ikke alle krav kan med rimelighed opfyldes med det samme. Virksomheden skal vurdere, hvilken type databehandlingsaktiviteter der er størst risiko for virksomhedernes forretning og / eller de registreredes rettigheder samt hvilke risici sandsynligvis fører til høje bøder og arrangere sine ressourcer. Bestræbelserne på overholdelse af databeskyttelse bør være højere for risikable forarbejdningsaktiviteter og lavere for mindre risikable forarbejdningsaktiviteter.
Trin 3: Projektstyring og ressource- / budgetplanlægning.
Gennemførelsesprocessen for GDPR kræver samarbejde mellem selskabets involverede europæiske enheder samt bevidstheden om, at det skal være på ledelsesniveau hos selskabet. Virksomheden skal overdrage projektansvar til nøglemedarbejdere på de involverede virksomhedskontorer i EU samt udpege en projektleder, der leder projektet. projektlederen kan også være en ekstern rådgiver.
Virksomheden skal allokere de nødvendige ressourcer. Planlægningen bør især omfatte interne ressourcer, såsom internt personale, der kræves til gennemførelse, juridiske omkostninger samt IT-omkostninger (f.eks. Til støtte for software, IT-revisioner mv.).
Trin 4: Implementering af en databeskyttelsesstruktur.
GDPR indeholder en række yderligere krav, der ikke har eksisteret i den grad i henhold til EU’s databeskyttelsesdirektiv, som f.eks:
Styrkede registrerede rettigheder (f.eks. Vedrørende information, adgang og korrektion / sletning, ret til dataoverførbarhed, ret til at modsætte sig databehandlingsaktiviteter, “ret til at blive glemt”, forpligtelse til at videregive adgangs- / sletningsanmodninger til tredjemands data modtagere/databehandler; Krav til samtykkeerklæringer mv.)
Styrkede organisatoriske krav (f.eks. Forpligtelse til at have databehandlingsregistre, som opsummerer interne databehandlingsaktiviteter; nødvendigheden af at gennemføre konsekvensanalyser af databeskyttelse (DPIA) og udpege databeskyttelsesansvarlige i forskellige tilfælde; overholde privatlivets fred ved design og standardkrav for at sikre, at databehandlingssystemer beskytter privatlivets fred; forpligtelse til at forbinde personoplysninger med de formål, som det er indsamlet for såvel som med retsgrundlaget for behandling, dokumentation af datastrømme, potentielt udkast til sletningskoncepter mv.
Trin 5: Databeskyttelse Konsekvensvurdering (DPIA).
Under GDPR skal organisationer foretage konsekvensanalyser for databeskyttelse (DPIA), når en forarbejdningsaktivitet sandsynligvis vil medføre høj risiko for enkeltpersoners rettigheder og friheder. Det anbefales dog, at DPIA’er udføres for alle behandlingsaktiviteter, uanset risikoniveau. Hvis identificerede risici ikke kan afbøde med succes, skal organisationen rådføre sig med Datatilsynet inden påbegyndelse af behandlingsaktiviteten.
Trin 6: Fortrolighed ved design og databeskyttelse som standard.
Organisationer skal som standard være opmærksom på GDPRs krav til privatlivets fred allerede fra designfasen. Beskyttelse af personlige oplysninger skal integreres i hele processen med at designe produkter og tjenester. Tekniske og organisatoriske foranstaltninger skal være på plads for at sikre personoplysningernes integritet og fortrolighed og for at sikre, at personoplysninger kun behandles, når det er nødvendigt for at opnå et bestemt formål.
Trin 7: Databeskyttelsesofficer (DPO).
Nogle organisationer kan blive pålagt at udpege en DPO. Organisationer skal vurdere, om dette krav gælder for dem, og hvis det gør det, udpeger en DPO så hurtigt som muligt at være klar til GDPR. Uanset at mange organisationer måske vil udpege en DPO som bedste praksis, selvom kravet ikke gælder.
Trin 8: Oplysninger om brud på data.
Datakrænkningsmeddelelseskrav er stort set de samme under GDPR. GDPR har dog strengere krav til registrering af oplysninger om overtrædelser af data, der opstår.
Alle data brud skal dokumenteres internt, uanset om det skal rapporteres. Dokumentationen skal være klar til at blive delt med Datatilsynet på forespørgsel. Ved brud databeskyttelse af følsomme oplysninger er der meldepligt til Datatilsynet inden for 72 timer, samt krav til oplysning til den enkelte hvis oplysninger er blevet kompromitteret.
Trin 9: Databehandlingsaftaler.
Styrkede kontraktmæssige krav (strengere databehandlingsaftaler med eksterne tjenesteudbydere såvel som potentielt inden for koncernen skal indgås). Organisationerne skal gennemgå deres aftaler med databehandlere for at sikre, at de opfylder kravene med GDPR. Nye aftaler bør udarbejdes med GDPR’s krav i tankerne.
Trin 10: Samtykke.
Krav til opnåelse af gyldigt samtykke fra enkeltpersoner er strengere under GDPR. Organisationer, der er afhængige af samtykke som retsgrundlag for en forarbejdning, skal sikre, at samtykket opfylder kravene i GDPR. Dette omfatter, hvordan samtykket bliver anmodet, opnået, registreret, sporet og ændret. Organisationer skal kunne bevise, at samtykket opfylder GDPRs krav og sikre, at enkeltpersoner har mulighed for nemt at trække deres samtykke til enhver tid.