Anhand der identifizierten Massnahmen sind die bestehenden Dokumente (Datenschutzerklärung, Verträge etc.) zu überprüfen und ggf. zu aktualisieren. Die fehlenden Dokumente sind zu erstellen und bei Bedarf Verantwortlichkeiten und Prozesse zu definieren.
Welche der folgenden Dokumente, Richtlinien und Prozesse zu erstellen oder zu definieren sind, hängt von den Umständen im Einzelfall ab:
- Anpassung der Datenschutzerklärung auf der Website
- Erstellung von fehlenden Dokumenten
- Datenschutzerklärung für Kunden und weiteren Vertragspartnern
- Datenschutzerklärung für Mitarbeitende, allenfalls auch für Stellenbewerber
- Verzeichnis der Bearbeitungstätigkeiten (Ausnahme für KMU möglich, aber sinnvoll)
- Applikationsverzeichnis (Ausnahme für KMU möglich, aber sinnvoll)
- Datenschutz-Folgenabschätzung bei hohem Risiko
- Vereinbarungen mit Auftragsverarbeitern
- Anpassung der AGB
- Anpassung von Verträgen
- Allenfalls Verzeichnis der Datenschutzvorfälle
- Definition von Prozessen und Richtlinien
- Interne Datenschutzrichtlinien
- Prozess zum Umgang mit Anfragen von Betroffenen
- Dokumentation Massnahmen zum Schutz der Datensicherheit
- Vorgehen bei Datensicherheitsverletzungen
- Aufbewahrungsdauer und Datenlöschung
- Prozesse und Richtlinien für ICT, Cloud, Marketing
- Anpassung von Systemen / Beschaffung von neuen Systemen, die compliant sind
- Sicherheitsrichtlinien für IT-Systeme
- Auftragsverarbeitungsverträge (Cloud, Marketing)
- Datenübermittelung ins Ausland (sichere / unsichere Länder)
- Compliance und Risikoprüfungen
- Schulung Mitarbeitende
