Így kezdj hozzá a GDPR szabályok betartásához

Most, hogy már tudjuk, hogy mi célt szolgál a GDPR, tisztában vagyunk a magánszemélyek adatvédelmi jogaival és az adatkezelési szerepkörökkel, ideje munkához látni és elkezdeni a felkészülést a GDPR szabályok betartásához. Összeszedtem a legfontosabb teendőket, amit szerintem szinte minden cégnek el kell végeznie!

GDPR szabályok

 

GDPR érintettség feltérképezése

Először is érdemes számba venni, dokumentumban rögzíteni, milyen személyes adatokat és milyen módon kezel, tárol a cég, honnan származnak azok, illetve kivel osztottuk meg azokat. Fel kell tárni, hogy a jelenlegi folyamatok mennyiben felelnek meg a 2018. május 25 utáni szabályoknak.

Vegyük számba minden személyes adatot, az elektronikusan és papíron kezelt adatok egyaránt. Ne feledkezzünk a dolgozók személyes adatairól, az árajánlatok során megadott adatokról sem!

Ez a leltár lehet a további munkák alapja.

Informatikai fejlesztések

Adatbiztonság erősítése

A GDPR adatbiztonsági előírásainak maradéktalan betartásához és a kockázat csökkentéséhez szükséges a honlap informatikai, adatbiztonsági rendszerének felülvizsgálata és folyamatos fejlesztése.

Hozzájárulások kérése

Ha adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, a vásárló hozzájárult, valamint ennek időpontját, módját is meg kell tudni mondani akár évek múlva is. A feliratkozási és regisztrációs űrlapokon egy két üres checkboxot szükséges elhelyezni. Egyik a regisztráció önkéntességének elismerésére, a másik pedig az adatok kezeléséhez való hozzájárulásra szolgál. Ugyan itt elérhetővé kell tenni az Adatvédelmi nyilatkozat egyszerű elérhetőségét.

Nyilvántartások, szabályzatok elkészítése

Adatkezelési nyilvántartás

A legtöbb adatkezelő és adatfeldolgozó is köteles nyilvántartást vezetni a végzett adatkezelési tevékenységekről. A 250  főnél többet foglalkoztatók minden esetben kötelezettek a nyilvántartásra, a kisebbek pedig csak akkor, ha

  • ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
  • ha az adatkezelés nem alkalmi jellegű, vagy
  • ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

 

Az adatkezelés igen ritkán alkalmi jellegű, egy webáruháznál vagy hírlevél-küldésnél soha, így szükséges dokumentumban rögzíteni, hogy a cég alkalmazottai közül ki és milyen személyes adatokhoz fér hozzá és milyen céllal teszi azt.

Belső adatvédelmi szabályzat

Belső adatvédelmi szabályzat kell rögzíteni az adatkezelés teljes folyamatát, az egyes rendszerekhez, nyilvántartásokhoz való hozzáférés mikéntjét, az adatbiztonsági követelményeknek való megfelelést. Itt kell definiálni az egyes személyek feladatait is. Pl. ki és hogyan végzi az adatok módosítását, törlését, adatvédelmi incidens jegyzőkönyvének elkészítését, stb.

Adatvédelmi incidens kezelés szabályozása

Az adatvédelmi incidensnek nevezzük azokat az eseteket, amelyek során a személyes adatok biztonsága olyan sérülést szenvedett, amely kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ilyen eset a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés.

Az ilyen eseteket legkésőbb 72 órán az adatvédelmi incidens kiderülése után be kell jelenteni az adatvédelmi hatóságnak adatvédelmi incidens jegyzőkönyv segítségével. Ezen felül a vásárlókat is tájékoztatni szükséges az adatvédelmi incidensről egy nyilatkozat formájában.

Az adatvédelmi incidensek kezelésére vonatkozó tájékoztatót az Adatvédelmi nyilatkozatban is szerepeltetni kell.

Adatvédelmi tisztviselő kijelölése

Adatvédelmi tisztviselő kinevezése kötelező akkor, ha webshopon végzett műveletek olyan adatkezelést foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Ha honlapon/webáruházban vannak viselkedés alapú reklámok (pl. remarketing), akkor mindenképp szükséges az adatvédelmi tisztségviselő kijelölése. Bár ez a tisztség nincs kötelező végzettséghez kötve, a munka szakszerű elvégzéséhez szakmai ismeretekkel kell rendelkeznie az adatvédelem jogi és gyakorlati előírásairól, ezért nem árt egy előzetes tanfolyamot elvégezni.

A feladatot elláthatja a webshopot üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, vagy akár külső cég vagy személy (ügyvéd, adatvédelmi szakértő) is szolgáltatási szerződés megkötésével.

Az adatvédelmi tisztviselő ellenőrzi a GDPR-ban foglaltak betartását, irányítja, hogy ki milyen adatokhoz fér hozzá, milyen célból és Ő adja ehhez a jogokat is.

ÁSZF és Adatkezelési tájékoztató módosítása

Az adatvédelemmel kapcsolatos változásokat át kell vezetni az ÁSZF-en és Adatkezelési nyilatkozaton/tájékoztatöón is és mindkettőt a honlap jól elérhető részén, kinyomtatható formátumban elérhetővé kell tenni. Az adatkezelési tájékoztató nem lehet az ÁSZF része, annak külön dokumentumnak kell lennie.

Az adatkezelési tájékoztató kötelező elemei:

  • a webshop üzemeltetője és elérhetőségei,
  • ha van ilyen, az adatvédelmi tisztviselő elérhetőségei,
  • a személyes adatok kezelésének célja, az adatkezelés jogalapja,
  • adatfeldolgozóra vonatkozó információk, ha az adatok átadásra kerülnek.

 

Adatfeldolgozói szerződések megkötése

A céggel kapcsolatban álló adatfeldolgozókkal (tárhely-szolgáltató, hírlevélküldő szolgáltatás, futár, könyvelő stb.) szerződésben érdemes rögzíteni az adatvédelemmel kapcsolatos feladatokat. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.

Különösen fontos az adatfeldolgozó szerződés megkötése, az adatkezelést a honlap nevében más végzi. Ilyenkor figyelni kell arra, hogy a megbízott partner megfelelő garanciákat nyújtson a GDPR adatkezelési szabályainak betartására.

Szeretném felhívni a figyelmet, hogy nem vagyok jogász és még végleges magyar szabályozás sem jött ki, ezért az itt leírtak csupán tájékoztató jellegűek, azokért felelősséget nem vállalok.

A sorozat előző részeit itt találod:

Csak hiszed, hogy téged nem érint a GDPR

 

GPDR szerepkörök

 

Ezek a magánszemélyek jogai a GDPR kapcsán

Nézd meg ezeket is!

You may also like...

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .