Фондация „Право и Интернет“ предоставя консултантски услуги и съдействие във връзка с извършването на цялостен правен анализ на съответствието с изискванията на GDPR на процесите, свързани с обработване на лични данни.

В рамките на анализа се извършва щателно проучване на дейностите по обработване на лични данни в организацията и на тяхното настоящо ниво на съответствие с GDPR, идентифицират се рисковете, свързани с тези дейности, и се правят препоръки за привеждането им в съответствие с изискванията на Регламента.

С цел извършването на правен анализ на съответствието, се извършват следните дейности:

1. Одит и проучване на цялостната дейност по обработване на лични данни в организацията:

  • преглед и анализ на нормативната уредба (законови и подзаконови нормативни актове) – отнася се в случаите за дръжавна структура или сектор, за който трябва да се проучи цялостна нормативната уредба;
  • проучване на вътрешни документи и регистри;
  • идентифициране, групиране и анализ на правомощията;
  • проучване на реалните процеси и практики, свързани с обработването на лични данни;
  • събиране на анкетна информация;
  • провеждане на интервюта, фокус групи и/или наблюдения.

2. Правен анализ на събраната информация, с оглед съответствие с изискванията на GDPR, с фокус на вниманието върху:

  • видовете лични данни, които се обработват; категориите лица, чиито данни се обработват;
  • правните основания, свързани с обработването на лични данни;
  • начина на обработване на личните данни (с автоматични или неавтоматични средства);
  • начина на възлагане на обработване на лични данни на лица вътре в организацията и извън нея и обема на задълженията на страните във връзка с такова обработване;
  • принципите, свързани с обработването на лични данни;
  • необходимостта от осигуряване правата на физическите лица във връзка с обработването на личните им данни, включително чрез приемане на вътрешни процедури за разглеждане и отговаряне на искания от физически лица за упражняване на правата им;
  • задълженията за документиране и доказване наличието на валидни информирани съгласия за обработване на лични данни;
  • изискванията по чл. 13 и 14 GDPR за информиране на лицата относно обработването на личните им данни;
  • предприетите и необходимите технически и организационни мерки за защита на данните и вътрешния документ, отразяващ тези мерки;
  • задължението по чл. 30 GDPR за водене на регистри на личните данни;
  • необходимостта от уреждане на отношенията, свързани с обмен на данни с други лица, в това число с контрагенти / доставчици / партньори (отношения администратор-администратор) и с подизпълнители и външни доставчици на услуги (отношения администратор-обработващ);
  • задължението за реакция при нарушение на сигурността на данните;
  • предаването (трансфери) на данни към получатели в страни извън ЕС и задълженията, свързани с такова предаване;
  • задължението за определяне на Длъжностно лице по защита на данните (DPO).