下萨克森州数据保护局(下萨克森州DPA)在过去几个月中对50个大中型组织的实施情况进行了审核,以了解它们对《通用数据保护条例》(GDPR),目前正在完成审核。下萨克森州DPA于2019年8月7日发布了该清单,用于评估组织的GDPR准备情况(检查清单;可用德语 这里)。

清单

清单总共包括10个问题类别和大约200个GDPR合规标准。这些包括,例如:

问题类别 GDPR的主要合规标准包括
GDPR准备就绪 ·贵组织如何准备GDPR?

·您组织的哪些部门参与了GDPR的准备工作?

·贵组织是否对员工进行GDPR培训?

加工活动记录(ROPA) ·贵组织如何确保为所有必要的处理活动创建了ROPA?

·贵组织如何确保更新其ROPA?

数据处理的法律依据 ·贵组织进行加工活动的法律依据是什么?

·您的组织是否获得文件同意?

数据subject rights ·贵组织有哪些流程来确保数据主体可以根据GDPR主张其权利?

·请特别说明您的组织如何履行其信息义务。

数据security ·您的组织如何确保已实施必要的技术和组织措施(TOM),以确保适合风险的安全级别?

·贵组织如何确保TOM是最新技术?

·您的组织如何确保其具有针对当前和将来的IT应用程序的书面授权概念?

·贵组织如何确保在创建或更改商品或服务的过程中实施设计隐私和默认隐私概念?

数据保护影响评估(DPIA) ·您的组织如何确保其认识到处理活动需要DPIA?

·贵组织对于哪些处理活动确定需要DPIA?

数据处理协议 ·贵组织是否已与数据处理器更新现有协议?

·贵组织的模板数据处理协议是否符合所有GDPR要求?

数据保护官(DPO) ·DPO如何集成到您的组织中?

·贵组织是否已证明DPO具有足够的数据保护知识?

·DPO是否已通知监管机构?

数据泄露通知 ·贵组织如何确保在法定期限内通知数据泄露?
问责制 ·贵组织如何证明符合上述要求?

评论

根据下萨克森州DPA(请参阅去年的声明) 这里),其审核的主要目的不是发出罚款,而是确定组织中仍存在合规漏洞并提高对GDPR要求的认识。这些审核和检查表的发布表明,GDPR生效一年后,监管机构变得更加活跃(例如,通过对组织的GDPR准备情况进行一般审核),因此组织应该最终做好准备。

该清单是组织审核其GDPR准备情况的有用工具,因为它突出了监管机构可能关注的主要主题。