Webbplats
Börja med webbplatsen. Ditt företag måste åtminstone se ut att vara i överensstämmelse. Kontrollera följande:
- Om din webbplats använder cookies, bör den visa en cookie-dialog. Du vet vad det är eftersom du redan har stängt många av dessa dialoger. Din webbplatsplattform eller partner vet hur man aktiverar en enkel cookie-dialog.
- Be om PrivacyDocs AI-chatbot att generera en standardpolicy för webbplatsens integritet. Den kommer att täcka webbplatsen, inte resten av ditt företag. Du kan anta en välskriven policy som finns på webben, eller bara be PrivacyDocs AI-chatbot att generera en baserat på de registrerade uppgifterna. En efterlevnadspolicy bör få plats på två sidor och handla om två till tre behandlingsaktiviteter (placera cookies, tillhandahålla webbplatsen, lagra åtkomstloggar, potentiellt behandla feedbackformulär).
Kontrollera din webbplats för tredje parter, såsom Google Analytics, marknadsföringsprogram, inbäddad video, etc. Många webbplatser använder andra webbplatser och överför dina besökares data till andra företag.
Inventarier
Nästa steg är att skapa en inventering av behandlingsaktiviteter (så kallade register över behandlingsaktiviteter). DSF (GDPR) är uppbyggd kring behandlingsaktiviteter, var och en av dem måste beskrivas.
Webbplatsaktiviteterna är en bra början. Ta de demoregister som tillhandahålls med PrivacyDocs och anpassa dem efter dina specifikationer.
Fyll i varje post i PrivacyDocs. Detta kan inkludera följande:
- Förstå vilka system som är involverade i genomförandet av en behandling.
- Ta reda på vilka företag som tillhandahåller dessa system och är involverade, samt kontrollera förekomsten av databehandlingsavtal med dessa företag.
- Bestämning av datalagringstider.
- Upptäckta av datadelningens vägar.
- Granskning av den information som ges till individer (texter som visas på webbplatsen, webbplatsens integritetspolicy, interna integritetspolicyer, avtal med dina kunder).
Vissa register skulle kräva att bedömningar genomförs (vanligtvis, Bedömning av Legitimt Intresse eller en Dataskyddsbedömning). Du kan konsultera de exempelbedömningar som tillhandahålls med PrivacyDocs. Du kan också kontakta PrivacyDocs GDPR-konsulttjänst. Dessa bedömningar är inte alltför många (du kan förvänta dig att behöva bara några få), men de kräver att du granskar dina processer ur ett särskilt perspektiv. De görs ofta bäst av externa konsulter.
Integritetspolicy
Integritetspolicyer är inte en plats där du ger en sammanfattning av DSF (GDPR) och pratar om dess principer, utan där du klargör specifika detaljer om de behandlingsaktiviteter som du utför. Integritetspolicyn bör informera dina anställda om hur de ska behandla personuppgifter, men också informera dem om hur deras data behandlas.
Förfrågningar
Förbered ditt företag för att hantera så kallade Begärningar från Registrerade (DSR): vanligtvis e-postförfrågningar som skickas av vem som helst till ditt företag.
- Ställ in en e-postadress som den föredragna kontaktpunkten, nämn den i dina integritetspolicyer och på webbplatsen.
- Detta e-postmeddelande skulle vanligtvis leda till dig eller till någon som hanterar juridiska förfrågningar.
- Se till att de inkommande förfrågningarna först bedöms ur ett juridiskt perspektiv, eftersom de flesta kanske inte är juridiskt grundade.
- Se till att alla åtgärder som vidtas som ett resultat av
Överträdelser
Förklara för alla i ditt företag vad ett brott är och skapa en mekanism för att rapportera dem. Det är mer en social process. Från teknisk synpunkt stöder PrivacyDocs detta med brottregister och mallar för obligatoriska brottsvärderingar som ska genomföras av företaget.
Utbildning
Du behöver utbilda dina anställda om DSF. Det finns många gratis grundkurser tillgängliga. En halvtimmes kurs kan vara tillräcklig för de flesta anställda, medan bara några få behöver mer djupgående kunskap. Du kan ha en privatlivsfredag kväll och titta på en kursvideo tillsammans, eller begära en kort utbildning från PrivacyDocs konsulttjänst.
Det är viktigt att registrera faktumet av utbildning i PrivacyDocs för att ha det som bevis på efterlevnad.
Risker
Du kommer förmodligen inte att få allt helt klart. Vissa avtal kan saknas, vissa system eller processer behöver uppdateras, osv. Dessa är alla efterlevnadsgap som utgör risker för bristande efterlevnad. De flesta företag har en ganska lång lista över efterlevnadsgap och risker som de bär. Du behöver registrera dessa risker i PrivacyDocs.
Det viktigaste här är att regelbundet granska dessa risker och fortsätta arbeta med riskminimering. Att ignorera en risk är inte förenligt. Men att registrera och bedöma en risk, tillsammans med att hantera och genomföra vissa åtgärder för riskminimering, kan göra ditt företag förenligt även om risken inte omedelbart elimineras.
Recensioner
Du behöver regelbundet granska de processer som inte förväntas förändras, och att välja en årlig granskning är ofta försvarbart. Sätt upp en DSF-granskning för nästa år i din agenda. Processer som är förfallna eller försenade är markerade i PrivacyDocs för att vara synliga.