Aggódik a GDPR miatt? Néhány jó tanács a felkészüléshez

2018. január 16. kedd - 12:10 / piacesprofit.hu
  •    

Május 25-én az összes uniós tagállamban életbe lép az egységes adatvédelmi rendelet (GDPR), amire már csak rohamtempóban lehet felkészülni. A szabályozás, amelynek megsértését május után súlyosan szankcionálhatják, alapos felkészülést és sokszor szemléletváltást is igényel minden cégtől, ahol személyes adatokat kezelnek. Ez gyakorlatilag az összes vállalkozást érinti a legnagyobbaktól az akár csak egy alkalmazottat foglalkoztató legkisebbekig. Az átgondolt felkészülést a szakemberek a kis cégeknél is 6-8 hónapra taksálják. Akik még nem kezdték el, az utolsó utáni órákra kaphatnak egy listát a legfontosabb átgondolandó kérdésekről és lépésekről a papíralapú adatvédelemmel foglalkozó Fellowes cégtől. 

Az új adatvédelmi rendelet betartásánál a legnehezebb talán azt a szemléletváltást meglépni, hogy megfordul a bizonyítási teher. Májustól nem a magánszemélyeknek és a hatóságnak kell bizonyítani, hogy a vállalat megsértette az adatkezelési rendeletben előírtakat, hanem a cégeknek kell igazolniuk, hogy helyesen kezelik a náluk jogszerűen fellelhető adatokat, illetve a feleslegessé váló vagy illetéktelenül birtokukban lévőket megsemmisítik.

„Az új rendelet alapelveinek bevezetése tehát az eddigiektől némileg eltérő megközelítést igényel – hangsúlyozza Kreutz László, a Fellowes Hungary ügyvezetője. – Először is meg kell érteni, hogy ez vállalati szinten majdnem minden területet érint, nem korlátozódik csak a jogi, IT vagy HR osztályokra. Másrészt azzal az attitűddel kell szakítani, hogy minél több adatot minél szélesebb körben osszunk meg. Májustól csak az férhet az adatokhoz, akinek arra a rendelet értelmében megokolható jogosultsága lesz. Fontos kiemelni azt is, hogy az új szabályozás épp úgy vonatkozik a papíralapú adatokra, mint a digitálisan kezeltekre, és nem elég csak a májusi indulásra felkészülni, ez onnantól folyamatos adatvédelmi feladatokat ró majd a vállalkozásokra.”

Néhány tanács a felkészüléshez:

  1. Végezzen adatvédelmi hatásvizsgálatot! Először is azonosítsa be, hogy mi számít személyes adatnak. Csak olyanok legyenek a cége birtokában, amelyekre bizonyíthatóan szükség van és jogszerűen jutott hozzá;
  2. Készítsen eltérés-elemzést, nézze meg, hogy cégénél milyen eltérések vannak az eddigi adatkezelési gyakorlatban a GDPR-ban előírtakhoz képest;
  3. Dolgozzon ki olyan megoldásokat és mielőtt megvásárolná vagy bevezetné, tesztelje azokat, amelyekkel a jövőben eleget tud tenni a GDPR-nak;
  4. Győződjön meg róla, hogy rendelkezik a már szükségtelen adatok biztonságos megsemmisítésére vonatkozó gyakorlattal és eszközökkel; a biztonság kedvéért helyezzünk el iratmegsemmisítőket a nyomtató és fénymásoló mellé, valamint a vezetői irodában
  5. Határozza meg, hogy kinek, milyen adatokhoz lehet jogszerű hozzáférése a cégnél, gondoskodjanak a megfelelő tárolásról;
  6. Bizonyosodjon meg róla, hogy az új alapelvek, mint a kifejezett hozzájárulás, az adatok törlésére való jog, az adathordozhatósághoz való jog és a tiltakozáshoz való jog, mind szerepelnek az ügyrendi szabályzatokban;
  7. Dolgozzon ki eljárásmódot az adatvédelmi incidens jelentésére és elhárítására. Próbálja ki ezt úgy, mintha tűzvédelmi gyakorlatot tartana;
  8. Vizsgálja át a vállalatánál megtalálható szerződéseket, beleértve a beszállítói szerződéseket is. Győződjön meg róla, hogy az adatvédelem terén a beszállító partnereivel szemben vannak szerződéses jogai és ragaszkodjon is ezekhez. A beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést;
  9. Külön rendelkezni kell arról, hogy harmadik félnek milyen adatokat lehet átadni;
  10. Indítson adatvédelmi képzést a kollégáinak, vegye fontolóra adatvédelmi biztos kinevezését;
  11. Rendszeresen vizsgálja meg, hogy meg tud-e felelni cége a GDPR-nak, azonosítsa az esetleges problémákat és orvosolja azokat;
  12. Számoljon azzal, hogy májusig ez egy intenzív felkészülési szakaszt jelent cége életében, el kell végezni a selejtezést és gondoskodni kell a fölösleges iratok biztonságos megsemmisítéséről. Május után pedig folyamatosan kell végezni ezt a tevékenységet, hogy cége eleget tudjon tenni a GDPR-ban előírtaknak.
Mit mond a GDPR az elhunyt személyek adatainak védelméről?
A személyes adatokkal kapcsolatos hatályos adatvédelmi szabályozás (infotörvény) kizárólag élő természetes személyek személyes adataira terjed ki. Azonban mindenki meghal egyszer, legalábbis a tudomány jelenlegi állása szerint a halált senki sem kerülheti el. Ez felveti azt a kérdést, hogy mi lesz a sorsa az elhunyt személy személyes adatainak adatvédelmi jogi szempontból, illetve az egyes adatkezelőknek a szabályozási rendszerük kialakítása körében miként kell tekintettel lenniük erre a problémakörre.
Jogi kisokos
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor