Vonatkozik-e rám? Hogyan?
A GDPR az Európai Unió területén működő minden társaság és cég működését érinti, iparágtól, szektortól, működési területtől és cégmérettől, formától függetlenül.
Valamennyi társaság kezel személyes adatokat, hiszen a cégek alapvető működéséhez (például a bérek kifizetése) a személyes adatok kezelése elengedhetetlen. Az új szabályozás érinti például, de nem kizárólagosan a marketing és kommunikációs ügynökségeket, a webshopokat, a regisztrációs vagy hírlevél szolgáltatási lehetőséget kínáló weblap üzemeltetőket, a könyvelőket, jogászokat, orvosokat, egészségügyi, banki, pénzügyi, telekommunikációs szolgáltatókat stb.
De mit is jelent a személyes adatok kezelése?
A személyes adatok kezelése, az egyénektől, azaz a természetes személyektől/ adatgazdáktól bekért vagy más módon megszerzett személyes adatok gyűjtésére, kezelésére, feldolgozására és felhasználására, megosztására, tárolására, módosítására, törlésére, védelmére, és a velük végzett valamennyi műveletre kiterjed.
A GDPR érdemében az adatkezelő, azaz a társaság jogszabályi kötelessége például:
- hozzájárulást kérni az adatgazdától személyes adatainak kezeléséhez, vagy meghatározni és igazolni a megfelelő más jogalapot az adatkezeléshez
- ezeket az adatokat és az adatkezelés folyamatának egészét megfelelő munkafolyamati, biztonsági és informatikai megoldásokkal védeni
- a védelemhez rögzíteni az adatkezelés célját, módját, szabályait, főbb dokumentumait, biztosítani az ezzel foglalkozó humán erőforrást és informatikai rendszert
- 72 órán belül értesíteni a hatóságot, ha az adatok biztonsága sérül és az érintettre nézve az incidens kockázattal jár. Ilyen incidens például ha elloptak, vagy elhagytak egy mobiltelefont vagy laptopot, amelyen céges adatok voltak, vagy ha eltűnt egy PenDrive, amelyen ilyen adatokat tároltak. De ide tartozik az is, ha vírus”támadás” érte az informatikai hálózatot, kitettek személyes adatok nyilvános weblapra, publikusan elérhetővé téve azokat. Incidens továbbá például, ha egy elküldött, vagy elment munkavállaló az adatokat átvitte magával egy másik társasághoz.
Az új, GDPR szabályozás szerint az adatgazdának, azaz az egyénnek joga van:
- hozzáférni személyes adataihoz
- helyesbíttetni, töröltetni azokat, ide értve az elfeledtetéshez való jogot is
- az adatai kezelésének korlátozását kérni
- tiltakozni a személyes adatai kezelése ellen
- adatainak hordozhatóságához
Hogyan vonatkozik ez rám? Mi a teendőm?
Hogy mit is kell tennem annak érdekében, hogy működésem megfeleljen a GDPR Rendeletnek? Ennek megválaszolását első lépésben egy részletes, az adott társaság jelenlegi adatkezelési gyakorlatára vonatkozó felülvizsgálatnak, auditnak kell megelőznie.
Az audit megállapításaira építve van lehetőség második lépésben kidolgozni a megfelelőséghez szükséges megoldásokat, majd ezeket harmadik lépésben a gyakorlatban megvalósítani.
A megvalósításhoz tartozhat többek között például:
- az új adatkezelési eljárásrend és szabályok kialakítása
- az ehhez tartozó dokumentációk és adatlapok elkészítése
- adatkezelési tájékoztatók szövegezése
- meglevő szerződések felülvizsgálata, újak szövegezése, kiegészítése
- a humán erőforrás képzése
- szükség esetén adatvédelmi tisztviselő alkalmazása, vagy erre a feladatra külsős szakértő megbízása
- munkatársak oktatásának megszervezése
- felülvizsgálati rendszer kialakítása
- a működtetéshez, védelemhez szükséges informatikai megoldás kiépítése és biztosítása
A gyakorlati megvalósítást követően a negyedik lépés a szabályszerű működés biztosítása, és ennek ellenőrzése. Például az adatokat az előírásnak megfelelően tároljuk-e? Vagy van-e megfelelő tűzfal védelmem, hogy a kívülről érkező kiber támadásoktól biztosítsam az adatok védelmét?