Egyedül készülnél fel a GDPR megfelelésre?

Első lépésként fontos megvizsgálni a már meglévő szerződések, nyilatkozatok, megállapodások tartalmának megfelelését. Amennyiben nem helytállóak, szükséges a módosításuk vagy új dokumentumok létrehozása. Mi most két alapvető dokumentumot ajánlunk, amelyek segítségével a sajátotok is megfelelő lehet! (Adatkezelési tájékoztatóból 2 változat is van. Ha webshopod van, akkor érdemes a kifejezetten webshopoknak szóló komplex csomagot választanod!)

Az adatvédelmi rendelet hatályba lépésével megszűnt a hallgatólagos beleegyezés; az adatkezeléshez az érintettek önkéntes, konkrét, egyértelm hozzájárulását kell kérni. Tisztában kell lennünk azzal, hogy a hozzájárulás fogalma magába foglalja a következő fogalmakat, mint önkéntes, konkrét, egyértelmű és megfelelő tájékoztatáson alapuló.

Ha vannak munkatársaid vagy új munkaerőt keresel, akkor ebben az esetben is szükséges néhány dokumentum azzal kapcsolatosan, hogy kinek milyen adatát, meddig és hogyan kezelitek. Az ehhez kapcsolódó dokumentumokat ebben a szekcióban találjátok.

Ha kamerarendszert is üzemeltettek, fontos, hogy rendelkezzetek egy kameraszabályzattal, illetve az ügyfeleknek és a munkatársak számára íródott tájékoztatóval. Ráadásul a kamera-tájékoztatót munkatársaknak és ügyfeleknek is rendelkezésére kell bocsátani.

Az adatvédelmi incidenseket 72 órán belül be kell jelenteni a NAIH felé és minden késedelem nélkül értesíteni kell az érintett személyt is, amennyiben az incidensek valószínűsíthetően magas kockázattal járhatnak. Mindezekről nyilvántartást is kell vezetni, éppen ezért a lenti dokumentumok között megtalálhatod ennek a mintáját is.

Meg kell különböztetnünk egymástól adatkezelőt és adatfeldolgozót. Ki az adatfeldolgozó?

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Jól kitűnik a fogalomból, hogy az adatfeldolgozó szűkebb értelemben kezeli az adatokat, mint az adatkezelő, ezért is kiemelkedően fontos, hogy egy-egy szerződésben pontosan le legyenek fektetve azok a kritériumok, hogy mely pontok vonatkoznak az adatkezelőre, és mely pontok vonatkoznak az adatfeldolgozóra.

A rendelet megszünteti a NAIH adatvédelmi nyilvántartásába való kötelező bejelentést, ezzel együtt az adatvédelmi nyilvántartási szám kérését. Az új előírás szerint az adatkezelőknek és adatfeldolgozóknak belső adatkezelési nyilvántartást kell létrehozniuk, melyet hatósági kérésre rendelkezésre kell bocsátani.

A rendelet lehetővé teszi az érintett személyek számára saját adataik bizonyos esetekben történő töröltetését. Ez felel meg – a rendelet előírása szerinti – elfeledtetéshez (törléshez) való jognak. Ebben az esetben a cégnek kötelessége az érintettek adatait törölni (a technológiai és megvalósítási lehetőségekhez mérten elvárva). A személyes adatok törlésének tényét célszerű dokumentálni, ezzel igazolván gyakorlatunk megfelelőségét a hatóság felé az adatkezelés befejezésekor; egy későbbi ellenőrzés alkalmával.

A GDPR szerint adatvédelmi hatásvizsgálatot akkor kell elvégezni, ha egy adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságára nézve. A kötelezettség nem csak a meglévő folyamatokra érvényes, új termékek, szolgáltatások, technológiák bevezetésekor előzetesen elvégzendő.

A későbbiekben a NAIH-nak nyilvánosságra kell hoznia egy jegyzéket, melyben az adatkezelési műveletek típusai adatvédelmi kockázataik szerint fognak szerepelni. Amennyiben az adatvédelmi hatásvizsgálat szerint a műveletek magas kockázattal járnak, és a cégnek nem áll módjában ezeket csökkenteni, abban az esetben konzultálnia kell az adatvédelmi hatósággal.

Az új rendelet egyes szerveztek számára előírja az adatvédelmi tisztviselő (DPO) kinevezését, alkalmazását. Az adatvédelmi tisztviselő lehet a szervezet alkalmazottja, de akár szolgáltatási szerződés keretében is elláthatja feladatait. A rendelet szerint önkéntesen is kinevezhető az adatvédelmi tisztviselő, amennyiben az adott cég számára ez nem kötelező, de a megfelelési kötelezettségben segítené a működést.

Az adatvédelmi tisztviselő munkaköri leírását ebben a szekcióban találod!