Na začátku je audit
Prvním doporučovaným krokem při zavádění GDPR je audit zpracování osobních údajů. Při auditu jsou hodnoceny druhy zpracovávaných údajů, důvody zracování, způsoby uchovávání a manipulace s osobními údaji.
Zjednodušeně řečeno, audit odpovídá na otázky jaké údaje organizace zpracovává, jak a z jakých důvodů je zpracovává.
Firemní pravidla a směrnice
Audoit by měl odhalit slabá místa a umožnit nastavení interních pravidel pro práci s osobními údaji. Na základě auditu zpracování osobních údajů jsou připraveny směrnice pro jejich zoracování.
V některých organiztacích je jmenována osoba odpovědná za zpracování osobních údajů na funkci pověrence na ochranu osobních údajů neboli DPO (Data Protection Officer).
Technická a organizační opatření
Organizace je povinná učinit vhodná technická a organizační opatření, na zajičzění odpovídající úroveně zabezpečení zpracovávaných osobních údajů.
Mezi takováto opatření patří například pseudonymizace a šifrování osobních údajů, ochrana a zálohování dat, omezená přístupová práva k datům, procesy pro pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření a další.