Machine Translated by Google

Regulamento Geral de Proteção de Dados - Avaliação de Prontidão

Categoria Recomendação # Recomendação Atualizações do Plano de Ação Prioritária Vencimento
% completo
Grupo de Governança da Informação
já instalado
- Nomear Campeões DP até setembro
Estabeleça um grupo de trabalho de governança de informações em tempo
2017
integral e nomeie os defensores da proteção de dados
- Treinamento para campeões em novos regulamentos -

início de 17 de outubro
Proteção de dados e
R01 Médio Jan-17 100%
Gerenciamento de privacidade
R02 Estabeleça KPIs para medir o desempenho da proteção de dados Médio Desenvolva um KPI para Conformidade de Dados Dez-17 Não iniciado

Requisitos de escopo
Decida como o papel do DPO será preenchido no futuro e faça uma nomeação Discutir com SLT

adequada, documente o processo por trás da nomeação Nomear e treinar (se necessário)
Atualização 26/10 - DA nomeado,
R03 Alto treinamento necessário Set-17 75%

Revise e melhore a estrutura de governança para incluir políticas exigidas pelo

GDPR, como avaliação de impacto de privacidade etc. Teste as políticas existentes - Revisar e atualizar a Política de DPA para
em relação aos requisitos do GDPR e altere quando necessário. Introduzir auditoria GDPR
Estrutura de políticas
periódica, teste e revisão de controles Atualizar o registro de documentos para - Update FOI policy
incluir novas políticas, procedimentos e instruções de trabalho - Atualizar as políticas de SARS
R04 Médio Políticas de teste, verificação pontual etc Jan-18 25%

Garantir que a proteção de dados ou GDPR seja colocada no registro de riscos

R05 corporativos para aumentar o perfil de conformidade com a proteção de dados Baixo Risco adicionado ao registro 17 de maio 100%

Projete e mantenha um registro de risco de informações, garantindo que seja Modelo de Avaliação de Impacto de Risco de
Risco de informação
suficientemente granular para registrar com precisão os riscos e a mitigação das Informação desenvolvido Comunicar à
avaliação e
informações. Certifique-se de que é revisto periodicamente organização assim que o treinamento do
gestão
R06 Médio Proprietário de Ativo de Informação for 17 de novembro 0%

Definir e implementar uma política e procedimentos sobre avaliações de impacto realizado - Projeto de política e procedimentos
na privacidade (PIA's). Garantir que os processos de PIA contemplem o requisito de (o ICO tem orientação)
R07 consultar o Regulador em determinadas circunstâncias Médio - Treinamento para a Jan-18 10%

equipe Incentivar as pessoas finais a concluir

Garantir que o treinamento em proteção de dados continue a ser fornecido na
o treinamento e atualizar em 12 meses.
indução e pelo menos uma atualização anual. Complemente isso com mais
Necessidade de procurar mais treinamento
conscientização (mensal) sobre questões relevantes ou mudanças na política.
Treinamento e conscientização para indivíduos-chave
Considere projetar ou adquirir treinamento sob medida para aqueles que precisam
de treinamento maior do que um módulo de e-learning pode fornecer
Pacote de treinamento específico do
R08 Médio GDPR desenvolvido - lançamento em março de 2018em progresso 70%
Machine Translated by Google

Introduzir processos de verificação e auditoria de conformidade que cumpram os

requisitos do GDPR, cujo escopo garantirá que as evidências estejam disponíveis para
demonstrar que South Hams DC está em conformidade com o GDPR. Nomear a equipe
Auditoria e verificação de de Auditoria apropriada, interna e externa. Como guia, é provável que sejam pelo menos - Já possui uma equipe de auditoria - a ser

conformidade auditorias anuais de todas as políticas de proteção de dados e procedimentos incorporada ao seu plano de trabalho anual

operacionais e a coleta e registro de evidências objetivas de conformidade e/ou o

levantamento de solicitações de ações corretivas para modificar o comportamento de Torna-se BAU a partir desse ponto
R09 acordo com a política Médio Jan-18 0%

- Modelo de cadastro desenvolvido

Visão geral e propósitos das
Um registro de propósitos de processamento de dados deve ser compilado e - treinamento sendo refinado
atividades de processamento
mantido - IAO's devem completar o registro até
de dados
R1 Alto janeiro de 2018 Jan-18 25%

Melhore a evidência do controle de processamento de dados revisando todos os

dados mantidos e documentando sua finalidade e fundamentos legais para
processamento, especialmente em relação a informações pessoais confidenciais e
informações comportamentais. Compilar um registro das finalidades de processamento
de dados conforme estabelecido na recomendação R10 e garantir que os motivos
Legalidade de
legais para o processamento sejam marcados em cada finalidade de processamento
em processamento
R11 de dados. Médio Isso será coberto como parte do R10
Para garantir que a South Hams seja capaz de demonstrar controle sobre seus

processos de aquisição de dados é necessário revisar todas as fontes de dados

pessoais, compilar um registro de fontes de dados e garantir que haja Uma vez que a revisão completa do R10 pode
R12 um processo para manter-se atualizado Medium ocorrer Fev-18 0%

Manter e, se necessário, expandir o cadastro de ativos de informação

Sistemas de processamento R13 Negócios, como sempre

de informações, fluxos e Documente os principais fluxos de dados para garantir uma compreensão completa
informações de como os dados são capturados e movidos sobre o South Hams Data
R14 sistemas Negócios, como sempre

Natureza dos dados Criar um sistema para manter informações descrevendo e definindo os dados que - Uma vez concluído o R10, isso pode ser

tratados/processados R15 estão sendo tratados pelos Conselhos e as categorias de dados Baixo realizado (a maioria será via W2) Mar-18 0%

Criar uma política de compartilhamento de dados que estabeleça um processo Elaborado, precisa de revisão

padrão para os funcionários seguirem para compartilhar legalmente e/ou divulgar Integrado aos contratos como parte
R16 dados pessoais, incluindo due diligence pré-contrato apropriada Médio da redação - vinculado ao banco de Mar-18 25%
dados do contrato

Estabelecer um registro de acordos/acordos de compartilhamento de dados e desenvolvimento

garantir que uma revisão geográfica de todos os processadores de dados seja realizada - Suporte CM necessário para extrair dados de

assim que uma lista completa for compilada contratos em planilha simples
R17 Médio Abr-18 5%

Compartilhamento de dados e uso de

Machine Translated by Google

Compartilhamento de dados e uso Certifique-se de que haja um acordo com todas as instâncias de processamento e/ou
de processadores de dados compartilhamento terceirizado. Testar cada acordo para garantir que a) os termos estejam
a favor do Conselho e em conformidade com as necessidades do GDPR; b) as indenizações
são cabíveis; e c) as instruções de processamento de dados emitidas são efetivas. - Jurídico para realizar a revisão de

Considere a criação de acordos modelo padronizados Faça uma avaliação do impacto na acordos (embora nenhuma terceirização em
R18 privacidade dos processadores de dados usados para avaliar adequadamente os riscos Médio grande escala seja realizada em SH) Abr-18 0%

que isso pode representar e/ou documentar as medidas tomadas para garantir que a
proteção adequada esteja em vigor .

R19 Médio 18 de maio 0%

Revise os acordos de transferência existentes e introduza uma política que

defina a transferência segura de dados aprovada e os procedimentos operacionais para
Protocolos de transferência de dados
os funcionários. Se ecel e e-mail forem usados, certifique-se de que as planilhas sejam
R20 protegidas por senha ou criptografadas Revise todos os compartilhamentos e Fev-18 0%

transferências de dados para testar se os dados são transferidos para fora do Reino
Unido e teste a adequação dos acordos onde ocorrem transferências internacionais Não está ciente de que fazemos
R21 Baixo quaisquer transferências internacionais de dados n / D 100%
Transferências Internacionais Introduzir um processo para revisar periodicamente o acordo de acuracidade
para todos os processadores no exterior para garantir que seu acordo de
adequação não expire e para garantir que novos acordos não sejam implementados Não está ciente de que fazemos
R22 sem o devido processo adequado. será mantido com precisão. Dê ênfase em particular a dados quaisquer transferências internacionais de dados n / D 100%

como preferências de comunicação, dados voláteis que podem mudar com frequência e dados
que causariam danos / angústia ao sujeito se estiverem incorretos Faça uma revisão profunda
Qualidade de dados e
dos dados que estão sendo tratados pelo South Hams DC e considere quais etapas seria
Precisão
apropriado revisar e manter a precisão Revise as finalidades de processamento de dados e os Política elaborada, só precisa ser finalizada
R23 dados usados para cada atividade de processamento e determine por quanto tempo eles Baixo e adicionada à biblioteca de políticas Dez-17 50%

precisam ser mantidos em um formato que permita a identificação dos titulares dos dados para
Minimização de dados a(s) finalidade(s).
R24 Baixo - espere até que o treinamento do IAO seja entregue Negócios, como sempre 0%

- Registro completo de ativos de informações -

Revisar quais mecanismos seriam apropriados em cada um dos casos para realizar revisão / entrevista com
Retenção de dados permitir que os South Hams cumpram o 5º princípio de proteção de dados Realizar um IAO para avaliar o processamento real
R25 exercício de aprofundamento sobre a retenção de dados em todos os ativos de Médio propósitos Mar-18 0%

informação, em seguida, revisar e divulgar a política de RM e os cronogramas de

retenção para conformidade e trabalho -habilidade Será realizado com quaisquer áreas de alto risco
R26 Médio identificadas no R25 Abr-18 0%

- revisão de política em andamento, nova

Revisar a estrutura de políticas de TIC para garantir que sejam adequadas para
ferramenta de política em vigor para a equipe
Objetivos do GDPR
Gerenciamento de TI R27 Médio aceitar políticas Jan-18 40%
Machine Translated by Google
Medidas de controle de
monitoramento e teste
Destruição e
Disposição
Recuperação de desastres e
Continuidade de Negócios
Incidentes e , R31
violação de eventos de segurança
gestão
Direito à informação e
transparência
Direito de acesso
Direito de se opor ao
processamento
Direito de oposição ao
marketing direto
Direito de não estar sujeito
a automatização
processamento e perfilagem R40
Considere usar servidores de log dedicados para melhorar o registro de eventos nos Opcional / não necessário para
R28 sistemas e também aumentar a frequência das auditorias de segurança de TI Médio conformidade 0% opcional
Contrato de destruição confirmado em
Documentar como os equipamentos e mídias redundantes devem ser descartados
local para equipamentos e mídias redundantes
R29 Médio 100%
- Plano de recuperação de desastres
Revise os acordos existentes e teste a conformidade com o GDPR sendo revisto em 17 de outubro/novembro -
R30 Médio Com ELT para entrada no local de prazos. Mar-18 50%
Revise as disposições de relatórios de incidentes para garantir alinhamentos
Lembrete a ser distribuído a todos os funcionários
com o GDPR. Relembre os funcionários por meio de conscientização e treinamento
Baixo sobre o que deve ser relatado e Fev-18 75%
Revise todos os contratos de processador para as disposições de notificação de - Alinhado à conclusão do banco de dados
R32 violação de segurança da informação Baixo de contratos Fev-18 0%
Recomenda-se que todas as declarações de privacidade e formulários de privacidade
sejam correlacionados e revisados para garantir a conformidade com o GDPR.
Considere colocar a política de privacidade do site em um local mais proeminente Médio - Revise os formulários existentes (18 de março)
R33 - Atualize e garanta ao vivo 18 de maio 18 de maio 0%
Introduzir métodos de trabalho para garantir que as informações de privacidade e - Atualizações para gerentes/IAOs em
R34 sua publicação/implantação sejam estritamente controladas Médio termos de requisitos Mar-18 0%
- Elaborado em 18 de janeiro (primeiro rascunho iniciado)
Desenvolva uma estratégia de processamento justa que forneça uma abordagem
- comunicado em 18 de fevereiro
em camadas viável para informações de privacidade
R35 Médio - No site - 18 de abril - Abr-18 0%
capacidade de revisão do W2 para este
Revisar os sistemas de dados para garantir que eles sejam capazes de registrar
processo - revisão a ser realizada por
quais informações de privacidade foram fornecidas a cada titular de dados
R36 Alto dezembro, com solução em vigor em 18 de maio 18 de maio 0%
- Em revisão atualmente
Alterar a política e o processo de SAR para garantir que seja compatível com GDPR - Treinamento para Líderes de Equipe a
e garantir que os funcionários sejam treinados em sua aplicação ser organizado em 18 de abril (o curso on-
R37 Médio line GDPR inclui módulo) 18 de maio 25%
- Converse com outros Conselhos sobre suas
Estabelecer um mecanismo para registrar qualquer objeção e determinar até que
abordagem / aconselhamento da ICO
ponto os interesses legítimos podem prevalecer sobre esses titulares de dados
- Acordar o processo até 18 de março
R38 Médio - Treinamento 18 de abril Mar-18 0%
- Fale com os comunicadores para entender como
Revise os arranjos atuais para registrar objetos para marketing direto
informações tratadas
R39 Baixo - Acordar abordagem para o futuro Fev-18 0%
- Avaliação com TIC de qualquer
Revise as atividades de processamento de dados e teste-as em relação às regras de tomada de decisão automatizada
tomada de decisão automatizadas processos
Médio - Se houver, revise os resultados dos testes Abr-18 0%
Machine Translated by Google

- Processo W2 a ser alterado para

Definir e implementar um método de aplicação de processamento restrito a
Direito à restrição do indivíduos que se oponham ao
dados onde uma objeção relevante é recebida. apagamento Identifique de onde
processamento de dados R41 as processamento - precisa de uma nota de aviso Fev-18 0%
solicitações R2BF podem vir. Introduzir uma política e procedimentos R2BF que possam
- Nota de procedimento a ser
identificar e apagar dados conforme apropriado. Introduzir um processo que garanta
R42 Alto elaborada - mecanismo de registro a ser colocado Mar-18 15%
que os Conselhos sejam capazes de identificar e registrar qualquer solicitação e
executá-la em tempo hábil

Direito à correção/
apagamento de dados R43 maneiras. Veja R42