Krok 3: Implementace nápravných opatření
Na základě provedené analýzy je následně třeba implementovat do praxe příslušná doporučení. Doporučení by měla být implementována tak, aby se nejprve vyřešily zásadní nedostatky a následně se přistoupilo k odstraňování nedostatků s menšími dopady do práv subjektů údajů a na společnost.
Typicky je třeba přijmout některá z následujících nápravných opatření:
- Stanovení účelů zpracování, případně jejich konkretizace
- Zajištění právního základu ke zpracování (souhlasy) a odstranění nadbytečných souhlasů
- Odstranění nadbytečných údajů
- Nastavení doby zpracování jednotlivých údajů a procesu ukončení zpracování
- Úprava postupů zpracování
- Doplnění a revize smluv s externími dodavateli a zaměstnanci
- Doplnění a revize postupu informování dotčených osob a sběru souhlasů
- Revize a doplnění interních předpisů (bezpečnostní politika, archivační řád atd.)
- Provedení analýzy rizik a přijetí dalších opatření
- Revize bezpečnostních opatření
- Nastavení procesů k identifikaci a hlášení bezpečnostních incidentů
- Jmenování pověřence pro ochranu osobních údajů
- Nastavení procesů k zajištění práv subjektů údajů (zejména včasné vyřizování žádostí)