1. Разработать процедуру реагирования
Мы рекомендуем разработать управляемую процедуру реагирования на запросы субъектов, в которой будут установлен порядок действий, ответственные лица и промежуточные сроки предоставления данных. Это позволит работникам компании запланировать ресурсы, необходимые для выполнения запросов, и организовать взаимодействие между подразделениями для своевременного предоставления информации.
2. Выявить персональные данные в бизнес-процессах
Для выполнения запроса компании необходимо знать, в каких бизнес-процессах обрабатываются персональные данные, попадающие под действие GDPR. Мы рекомендуем поддерживать в актуальном состоянии перечень информационных систем, в которых обрабатываются персональные данные, и сведения о составе и объеме данных. Это позволит компании подготовиться к запросам и предоставить субъектам полную и точную информацию об обработке.
3. Подготовить технологические инструменты обработки данных
Компания должна обладать инструментами для поиска и выполнения операций с персональными данными, запрашиваемых субъектом. Для этого в информационных системах, обрабатывающих персональные данные, должны быть предусмотрены механизмы поиска, извлечения, блокирования и удаления данных. Продуманное использование технологических средств или встроенного функционала в системах позволит компании снизить время и ресурсы на выполнение запросов.
4. Разработать форму предоставления данных, удобную для субъекта
Компания должна предоставить субъекту информацию в понятной и удобочитаемой электронной форме. Мы рекомендуем проанализировать формат данных, выгружаемых из информационных систем, и разработать автоматизированные формы выгрузки, соответствующие требованиям GDPR. Разработка шаблона формы ответа на запрос субъекта позволит компании снизить риск ошибок и несоблюдения сроков выполнения запроса.
5. Обеспечить конфиденциальность персональных данных
Компания обязана удостовериться, что субъект данных может воспользоваться своим правом на получение сведений о персональных данных или на принятие решений об операциях с ними. Для этого в процессе реагирования должны быть предусмотрены процедуры по идентификации субъекта, направившего запрос.