Vypracovanie gdpr pre korporát si vyžaduje dôkladné zváženie vzhľadom na prísne ustanovenia a možné dôsledky ich nedodržania. Dôležitým faktorom je identifikácia a pochopenie typu údajov, ktoré korporácia spracováva. Môže ísť o osobné údaje zamestnancov, údaje zákazníkov alebo obchodné tajomstvá. Korporácia musí jasne definovať, na čo bude tieto údaje používať, a musí praktizovať minimalizáciu údajov, t. j. spracúvať len to, čo je nevyhnutné na účel, na ktorý sú určené.
Návrh vypracovania gdpr musí obsahovať aj plány na zabezpečenie údajov s podrobným opisom metód ochrany pred stratou, poškodením alebo neoprávneným prístupom s cieľom zabezpečiť integritu a dôvernosť údajov. Politika by mala byť transparentná, pokiaľ ide o lehoty uchovávania údajov, pričom by mala priamo uvádzať, ako dlho sa budú údaje uchovávať a kedy by sa mali vymazať alebo anonymizovať. Okrem toho musí korporácia zohľadniť práva jednotlivcov podľa GDPR, ako je právo na informácie, právo na prístup atď. a ako budú tieto práva v rámci korporácie zabezpečené. A napokon, návrh by mal zohľadniť globálny dosah, pretože nariadenie GDPR sa vzťahuje na všetky korporácie, ktoré pracujú s údajmi občanov EÚ, bez ohľadu na ich umiestnenie. Súčasťou by mal byť aj pohotovostný plán pre prípady možného porušenia ochrany údajov, v ktorom by boli podrobne uvedené vhodné reakcie a postupy oznamovania.
Osvedčené postupy na implementáciu a vytvorenie gdpr v korporátnom prostredí
Implementácia súladu s GDPR vo firemnom prostredí si vyžaduje robustný a metodický prístup. Po prvé, podniky musia zabezpečiť komplexnú znalosť údajov, s ktorými denne pracujú, vrátane ich pôvodu, umiestnenia a účelu. Vyžaduje si to podrobný audit všetkých postupov týkajúcich sa údajov, ktoré budú tvoriť základ pre implementáciu nariadenia GDPR. Zásady GDPR musia byť presné, transparentné a ľahko dostupné. Pri vypracovaní GDPR-úpravy pre korporáciu by sa malo medzi všetkými zamestnancami rozšíriť povedomie o dodržiavaní GDPR. To možno dosiahnuť prostredníctvom školení, workshopov a seminárov. Rozhodujúce pre tento proces je vymenovanie úradníka pre ochranu údajov (DPO), ktorého úlohou je dohliadať na súlad s GDPR a pôsobiť ako kontaktné miesto medzi korporáciou a dozornými orgánmi GDPR. Vypracovaná politika by mala zahŕňať zásady “ochrany osobných údajov už v štádiu návrhu” a “ochrany osobných údajov v štandardnom nastavení”; to znamená, že opatrenia na ochranu osobných údajov nie sú dodatočnou myšlienkou, ale sú zakomponované do všetkých produktov, služieb a procesov. Okrem toho by podniky mali stanoviť aj postup riešenia prípadov porušenia ochrany údajov, ktorý zahŕňa zistenie, nahlásenie a vyšetrenie porušenia. A napokon, rovnako dôležité je aj udržiavanie trvalého súladu, takže podnikové subjekty by mali priebežne prehodnocovať a aktualizovať svoje opatrenia a zásady ochrany údajov v súlade so zmenami v postupoch a právnych požiadavkách na ochranu údajov.…