Nem tudja, hogyan kezdjen bele a GDPR-bevezetésébe cégénél, weboldalán? Összeállítottunk egy 12 pontból álló segédletet a legfontosabb tudnivalókkal, teendőkkel!
- Tevékenységi körünk, jogállásunk meghatározása
Fontos tisztában lennünk azzal, milyen, a GDPR szerint jelentőséggel bíró fő tevékenységet vállalkozásunk, például azzal, hogy az adatkezelésünk során végzünk-e profilalkotást (magatartások, preferenciák elemzése) az érintettek kapcsán. Az ilyen, profilalkotást fő tevékenységként végző szervezetekre ugyanis többletkötelezettségeket ró a rendelet.
- Határozzuk meg az adatkezelés érintettjeit!
Kik azok, akiknek a személyes adatait kezeljük a munkánk során? Tipikusan ilyenek a vállalkozás ügyfelei, üzleti partnerei, munkavállalói.
- Milyen adatokat kezelünk?
Meg kell határoznunk, hogy a 2. pontban felsorolt érintettek mely személyes adatait kezeljük (az email cím és a felhasználónév is személyes adat). Különösen figyeljünk annak meghatározásánál, hogy kezelünk-e különleges személyes adatokat!
- Adatkezelési célok meghatározása
Soroljuk fel, írjuk le, milyen célokból kezeljük a 2. pontban felsorolt érintettek 3. pontban felsorolt személyes adatait!
- Adatfeldolgozás
Határozzuk meg, hogy a munkánk során – saját cégünkön, alkalmazottainkon kívül – történik-e külső, harmadik személy általi adatkezelés? Amennyiben igen, ő adatfeldolgozónak minősül, akivel kapcsolatban további feladataink vannak.
- Adatkezelési tevékenység leírása
Írjunk le, hogy az adatokkal milyen műveleteket írunk! Minden adatkezelésnek minősül, ami az adatokkal kapcsolatos, már azok megismerése is!
- Hozzáférés
Határozzuk meg, hogy az egyes adatokat a cégen belül kik jogosultak kezelni, kik férhetnek hozzá! Erre az ún. adattakarékosság elve miatt is van szükség, fontos ugyanis, hogy mindenki csak annyi és olyan személyes adatot kezelhessen, amelyre feltétlenül szüksége van. Biztosítanunk kell, hogy az adatokhoz hozzáférők megfelelő adatvédelmi oktatásban részesüljenek!
- Biztonság
Határozzuk meg, milyen biztonságtechnikai intézkedéseket alkalmaz vállalkozásunk a személyes adatok védelme érdekében. A legtöbb vállalkozónál ilyenkor kötelező informatikai biztonsági szabályzatot is készíteni!
- Panaszkezelés rendje
A rendelet előírja az érintettek adatvédelemmel kapcsolatos panaszainak kezelését, ezekre minden esetben legkésőbb 30 napon belül válaszolnunk kell! Célszerű kijelölni ennek felelősét és meghatározni egy folyamatot. Fontos e körben tisztában lennünk az érintetteknek a rendeletben szabályozott széleskörű jogaival – az érintettek jogait a rendelet a korábbi szabályozáshoz képest jelentősen bővítette.
- Adatvédelmi incidensek
Szabályoznunk kell az ún. adatvédelmi incidensek kezelésének rendjét. Adatvédelmi incidens minden olyan nem várt eset, amely az adatbiztonság sérelmével járnak, amelynél fennáll a veszély, hogy az adatok sérülnek, vagy illetéktelenek számára is hozzáférhetővé válnak. Ki kell alakítanunk az incidensek nyilvántartásának rendjét, kötelező incidensnyilvántartót kell alkalmaznunk.
- Adatvédelmi tisztviselő
A fentiek ismeretében határozzuk meg, kötelező-e, avagy ajánlott-e adatvédelmi tisztviselőt alkalmaznunk! Tisztviselő bárki lehet, aki megfelelő adatvédelmi ismeretekkel és tapasztalatokkal rendelkezik (például egy ügyvéd is).
- Érintettek tájékoztatása
Megfelelő adatvédelmi tájékoztatót kell kialakítanunk és biztosítanunk kell, hogy azokat az érintettek önkéntesen és határozottan elfogadják (a ráutaló magatartás most már nem elegendő!!!). A rendelet közérthető tájékoztatást ír elő, e körben szorgalmazza, hogy akár diagramokat is alkalmazzunk az adatkezelési tájékoztatóban!
Kérdésed van a GDPR-al kapcsolatban? Írj nekünk: info@webugyved.com
