Így kezdj hozzá a GDPR szabályok betartásához

Most, hogy már tudjuk, hogy mi célt szolgál a GDPR, tisztában vagyunk a magánszemélyek adatvédelmi jogaival és az adatkezelési szerepkörökkel, ideje munkához látni és elkezdeni a felkészülést a GDPR szabályok betartásához. Összeszedtem a legfontosabb teendőket, amit szerintem szinte minden cégnek el kell végeznie!

GDPR szabályok

 

GDPR érintettség feltérképezése

Először is érdemes számba venni, dokumentumban rögzíteni, milyen személyes adatokat és milyen módon kezel, tárol a cég, honnan származnak azok, illetve kivel osztottuk meg azokat. Fel kell tárni, hogy a jelenlegi folyamatok mennyiben felelnek meg a 2018. május 25 utáni szabályoknak.

Vegyük számba minden személyes adatot, az elektronikusan és papíron kezelt adatok egyaránt. Ne feledkezzünk a dolgozók személyes adatairól, az árajánlatok során megadott adatokról sem!

Ez a leltár lehet a további munkák alapja.

Informatikai fejlesztések

Adatbiztonság erősítése

A GDPR adatbiztonsági előírásainak maradéktalan betartásához és a kockázat csökkentéséhez szükséges a honlap informatikai, adatbiztonsági rendszerének felülvizsgálata és folyamatos fejlesztése.

Hozzájárulások kérése

Ha adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, a vásárló hozzájárult, valamint ennek időpontját, módját is meg kell tudni mondani akár évek múlva is. A feliratkozási és regisztrációs űrlapokon egy két üres checkboxot szükséges elhelyezni. Egyik a regisztráció önkéntességének elismerésére, a másik pedig az adatok kezeléséhez való hozzájárulásra szolgál. Ugyan itt elérhetővé kell tenni az Adatvédelmi nyilatkozat egyszerű elérhetőségét.

Nyilvántartások, szabályzatok elkészítése

Adatkezelési nyilvántartás

A legtöbb adatkezelő és adatfeldolgozó is köteles nyilvántartást vezetni a végzett adatkezelési tevékenységekről. A 250  főnél többet foglalkoztatók minden esetben kötelezettek a nyilvántartásra, a kisebbek pedig csak akkor, ha

  • ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
  • ha az adatkezelés nem alkalmi jellegű, vagy
  • ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

 

Az adatkezelés igen ritkán alkalmi jellegű, egy webáruháznál vagy hírlevél-küldésnél soha, így szükséges dokumentumban rögzíteni, hogy a cég alkalmazottai közül ki és milyen személyes adatokhoz fér hozzá és milyen céllal teszi azt.

Belső adatvédelmi szabályzat

Belső adatvédelmi szabályzat kell rögzíteni az adatkezelés teljes folyamatát, az egyes rendszerekhez, nyilvántartásokhoz való hozzáférés mikéntjét, az adatbiztonsági követelményeknek való megfelelést. Itt kell definiálni az egyes személyek feladatait is. Pl. ki és hogyan végzi az adatok módosítását, törlését, adatvédelmi incidens jegyzőkönyvének elkészítését, stb.

Adatvédelmi incidens kezelés szabályozása

Az adatvédelmi incidensnek nevezzük azokat az eseteket, amelyek során a személyes adatok biztonsága olyan sérülést szenvedett, amely kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ilyen eset a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés.

Az ilyen eseteket legkésőbb 72 órán az adatvédelmi incidens kiderülése után be kell jelenteni az adatvédelmi hatóságnak adatvédelmi incidens jegyzőkönyv segítségével. Ezen felül a vásárlókat is tájékoztatni szükséges az adatvédelmi incidensről egy nyilatkozat formájában.

Az adatvédelmi incidensek kezelésére vonatkozó tájékoztatót az Adatvédelmi nyilatkozatban is szerepeltetni kell.

Adatvédelmi tisztviselő kijelölése

Adatvédelmi tisztviselő kinevezése kötelező akkor, ha webshopon végzett műveletek olyan adatkezelést foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Ha honlapon/webáruházban vannak viselkedés alapú reklámok (pl. remarketing), akkor mindenképp szükséges az adatvédelmi tisztségviselő kijelölése. Bár ez a tisztség nincs kötelező végzettséghez kötve, a munka szakszerű elvégzéséhez szakmai ismeretekkel kell rendelkeznie az adatvédelem jogi és gyakorlati előírásairól, ezért nem árt egy előzetes tanfolyamot elvégezni.

A feladatot elláthatja a webshopot üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, vagy akár külső cég vagy személy (ügyvéd, adatvédelmi szakértő) is szolgáltatási szerződés megkötésével.

Az adatvédelmi tisztviselő ellenőrzi a GDPR-ban foglaltak betartását, irányítja, hogy ki milyen adatokhoz fér hozzá, milyen célból és Ő adja ehhez a jogokat is.

ÁSZF és Adatkezelési tájékoztató módosítása

Az adatvédelemmel kapcsolatos változásokat át kell vezetni az ÁSZF-en és Adatkezelési nyilatkozaton/tájékoztatöón is és mindkettőt a honlap jól elérhető részén, kinyomtatható formátumban elérhetővé kell tenni. Az adatkezelési tájékoztató nem lehet az ÁSZF része, annak külön dokumentumnak kell lennie.

Az adatkezelési tájékoztató kötelező elemei:

  • a webshop üzemeltetője és elérhetőségei,
  • ha van ilyen, az adatvédelmi tisztviselő elérhetőségei,
  • a személyes adatok kezelésének célja, az adatkezelés jogalapja,
  • adatfeldolgozóra vonatkozó információk, ha az adatok átadásra kerülnek.

 

Adatfeldolgozói szerződések megkötése

A céggel kapcsolatban álló adatfeldolgozókkal (tárhely-szolgáltató, hírlevélküldő szolgáltatás, futár, könyvelő stb.) szerződésben érdemes rögzíteni az adatvédelemmel kapcsolatos feladatokat. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.

Különösen fontos az adatfeldolgozó szerződés megkötése, az adatkezelést a honlap nevében más végzi. Ilyenkor figyelni kell arra, hogy a megbízott partner megfelelő garanciákat nyújtson a GDPR adatkezelési szabályainak betartására.

Szeretném felhívni a figyelmet, hogy nem vagyok jogász és még végleges magyar szabályozás sem jött ki, ezért az itt leírtak csupán tájékoztató jellegűek, azokért felelősséget nem vállalok.

A sorozat előző részeit itt találod:

Csak hiszed, hogy téged nem érint a GDPR

 

GPDR szerepkörök

 

Ezek a magánszemélyek jogai a GDPR kapcsán

Köszönöm a megosztásokat!
  • 13
  •  
  •  
  •  
  •  
  • 13
  •  
  •  
  •  
  •  

Nézd meg ezeket is!

Tetszett a cikk? Kövesd a Virágos marketing tippeket a Facebookon. Szívesen beszélgetnél másokkal marketing ötletekről és/vagy kérdéseid vannak, amire szeretnél választ kapni? Csatlakozz a Virágos marketing tippek zárt csoporthoz, hogy együtt ötletelve még eredményesebb lehess!  

Iratkozz fel a Hétfői papírusz hírlevélre, hogy már hétfő reggel inspiráló tippeket kapj az üzleted felvirágoztatásához!

Hétfő papirusz hírlevélre feliratkozás
Az adatok megadásával kinyilvánítod, hogy kéred a hírleveleket. A hírlevél feliratkozás két lépéses, úgynevezett Opt-in rendszerben történik, az első emailben küldött linkre kattintással válik véglegessé.
Adatkezelési tájékoztatót megismertem, a felhasználási feltételeket elfogadom
*= kötelező
A feliratkozáskor megadott emailt bizalmasan kezelem, azt csak is a Hétfői papirusz hírlevelek küldésére használom. A címeket nem adom át harmadik félnek. További információkat az Adatkezelési tájékoztatóban találsz.

A weboldal sütiket használ. Az Uniós törvények értelmében kérem, engedélyezd a sütik használatát, vagy zárd be az oldalt. További információ

Az Uniós adatvédelmi törvény értelmében tájékoztatlak, hogy a balkonada.hu honlapon "cookie"-kat, magyarul vagy "sütiket" használunk. A sütik kicsi, teljesen veszélytelen fájlok, amelyeket a weboldal azért helyez el a számítógépeden, hogy minél egyszerűbbé és személyre szabottá tegye számodra a böngészést.
A sütiket bármikor letilthatod vagy újra engedélyezheted a böngésző beállításaiban. Amennyiben a tiltást nem teszed meg, illetve ha a "Rendben" feliratú gombra kattintasz, azzal elfogadod a sütik használatát.

További információért a sütikről és az adatkezelésről kattints az alábbi linkre:
Adatkezelési tájékoztató

Bezárás