Фондация „Право и Интернет“ предоставя консултантски услуги и съдействие във връзка с извършването на цялостен правен анализ на съответствието с изискванията на GDPR на процесите, свързани с обработване на лични данни.
В рамките на анализа се извършва щателно проучване на дейностите по обработване на лични данни в организацията и на тяхното настоящо ниво на съответствие с GDPR, идентифицират се рисковете, свързани с тези дейности, и се правят препоръки за привеждането им в съответствие с изискванията на Регламента.
С цел извършването на правен анализ на съответствието, се извършват следните дейности:
1. Одит и проучване на цялостната дейност по обработване на лични данни в организацията:
- преглед и анализ на нормативната уредба (законови и подзаконови нормативни актове) – отнася се в случаите за дръжавна структура или сектор, за който трябва да се проучи цялостна нормативната уредба;
- проучване на вътрешни документи и регистри;
- идентифициране, групиране и анализ на правомощията;
- проучване на реалните процеси и практики, свързани с обработването на лични данни;
- събиране на анкетна информация;
- провеждане на интервюта, фокус групи и/или наблюдения.
2. Правен анализ на събраната информация, с оглед съответствие с изискванията на GDPR, с фокус на вниманието върху:
- видовете лични данни, които се обработват; категориите лица, чиито данни се обработват;
- правните основания, свързани с обработването на лични данни;
- начина на обработване на личните данни (с автоматични или неавтоматични средства);
- начина на възлагане на обработване на лични данни на лица вътре в организацията и извън нея и обема на задълженията на страните във връзка с такова обработване;
- принципите, свързани с обработването на лични данни;
- необходимостта от осигуряване правата на физическите лица във връзка с обработването на личните им данни, включително чрез приемане на вътрешни процедури за разглеждане и отговаряне на искания от физически лица за упражняване на правата им;
- задълженията за документиране и доказване наличието на валидни информирани съгласия за обработване на лични данни;
- изискванията по чл. 13 и 14 GDPR за информиране на лицата относно обработването на личните им данни;
- предприетите и необходимите технически и организационни мерки за защита на данните и вътрешния документ, отразяващ тези мерки;
- задължението по чл. 30 GDPR за водене на регистри на личните данни;
- необходимостта от уреждане на отношенията, свързани с обмен на данни с други лица, в това число с контрагенти / доставчици / партньори (отношения администратор-администратор) и с подизпълнители и външни доставчици на услуги (отношения администратор-обработващ);
- задължението за реакция при нарушение на сигурността на данните;
- предаването (трансфери) на данни към получатели в страни извън ЕС и задълженията, свързани с такова предаване;
- задължението за определяне на Длъжностно лице по защита на данните (DPO).