Už jste téměř u cíle. Znáte rizikové oblasti ve své firmě. Upravte interní systém tak, aby obsahoval opatření k odstranění rizik.
Tato opatření nezapomeňte zdokumentovat!
Opatření k odstranění rizik mohou například spočívat v následujících krocích:
Zaměstnanci budou proškoleni o GDPR a s ním souvisejících nových povinnostech (například povinnost doložit souhlas subjektu údajů se zpracováním osobních údajů). Účast na školení bude dokladována a/nebo se zaměstnanci podpisem zavážou dodržovat interní pravidla týkající se ochrany osobních údajů.
Omezíte počet osob, které mají k osobním údajům přístup, na ty zaměstnance, kteří s daty skutečně pracovat musí. O smluvních partnerech a dalších stranách nemluvě.
Přístup k osobním údajům bude zabezpečen i fyzicky či technicky. Už žádné počítače bez hesla, hesla nalepená na monitorech, volné přenášení osobních údajů na jakémkoliv nosiči ven z firmy anebo odemčená volně přístupná kartotéka, ani ukládání dokumentů obsahujících osobní údaje na nezajištěných veřejných online úložištích.
IT oddělení nebo správce IT sítě upraví bezpečnostní procesy tak, aby minimalizovaly možnosti úniku osobních údajů.
Zlikvidujete osobní údaje, pro jejichž uchovávání již neexistuje oprávněný důvod.