Blog

Blog » PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES

PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES

2018 Március 09

A múlt héten az egyik megbízónk egy GDPR-el kapcsolatos megbeszélésen „kifakadt”: komolyan az az érzésem, hogy ez az egész GDPR projekt csak papírozásról szól. Bár ez nem teljesen igaz, abban teljesen egyetértünk a megbízóval, hogy a megfeleltetési projekt jelentős része különböző dokumentumok elkészítése és elfogadása. Rövid cikkünkben összegyűjtöttünk 5 alapdokumentumot, amely mindenképpen szükséges ahhoz, hogy megfelelhess a GDPR-nek.

1. Adatkezelési tevékenységek nyilvántartása

A GDPR alapján egyértelmű, hogy mind az adatkezelők, mind az adatfeldolgozók adatkezelési tevékenység nyilvántartást kell, hogy vezessenek, amely az adott adatkezelési tevékenység alapadatait tartalmazza (pl. a kelet adatok kategóriáit, harmadik országba történő adattovábbítás tényét).

Az adatkezelői és az adatfeldolgozói nyilvántartás eltérő tartamú: míg az adatkezelői nyilvántartás tartalmazza például az adattárolási határidőket, ez nyilvánvalóan nem tartalma a feldolgozói nyilvántartásnak, hiszen nem a feldolgozó határozza meg a határidőket.

Amennyiben az adatkezelési folyamataid felülvizsgálata során arra a következtetésre jutsz, hogy adatkezelő és adatfeldolgozó is vagy, az a jó hírünk van számodra, hogy két nyilvántartást is vezethetsz. Például egy fuvarozó a saját munkavállalói kapcsán adatkezelő (1. nyilvántartás), viszont a megrendelője vásárlói adatait már adatfeldolgozóként kezeli (2. nyilvántartás).

2. Belső adatvédelmi és adatkezelési szabályzat

A GDPR előírja, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy megfeleljen a GDPR-nek, ebbe adott esetben beletartozik az adatvédelmi szabályzatok elfogadása is.

Vagyis, gyakorlatilag kötelező belső adatvédelmi szabályzatot elfogadni, amely leírja az összes adatkezelési folyamatot, az adatkezeléssel kapcsolatos szervezeten belüli feladatokat és felelősségi köröket, az adatbiztonság érdekében tett intézkedéseket, illetve az érintettek jogait és az adatkezeléssel kapcsolatos panaszaik kezelésének módját.

3. Adatkezeléssel kapcsolatos tájékoztatók

A GDPR egyik legfontosabb célja, hogy az érintettek tájékozottak legyenek és tisztában legyenek azzal, hogyan kezelik a személyes adataikat illetve, hogy az adatkezeléssel kapcsolatos jogaikat hatékonyan érvényesíthessék.

Adatkezelőként tehát az adatkezeléssel kapcsolatos minden lényeges információt az érintettek rendelkezésére kell bocsátanod és elő kell segítened az adatkezeléssel kapcsolatos jogaik gyakorlását. Ennek érdekében különböző információs „csomagokat” (vagy ahogy többen ismerik adatkezelési tájékoztatókat) kell összeállítanod, többek között a munkavállaóid vagy a magánszemély ügyfeleid részére. Emellett, ha a honlapodon keresztül hozzájutsz személyes adatokhoz, akkor a honlapodon is közzé kell tenned egy adatvédelmi tájékoztatót.

4. Adatvédelmi incidens nyilvántartás

Tekintetbe véve az összes adatbiztonsági intézkedést, amit a GDPR megfelelőség érdekében vezettél be, az adatvédelmi incidensek messziről el kellene, hogy kerüljenek. Sajnos azonban mindnyájan tudjuk, hogy még a legjobb és legkorszerűbb intézkedések sem tudják teljes egészében kizárni egy incidens lehetőségét.

Ezért, a „tartsd szárazon a puskaport” elv alapján érdemes előkészíteni egy incidensnyilvántartást. A nyilvántartás tartalmazza az incidenst, a hatásait, illetve azokat az intézkedéseket, amelyeket az incidens orvoslása érdekében tettél.

5. Adatfeldolgozói szerződések

Mindegy, hogy adatkezelő vagy adatfeldolgozó vagy (vagy esetleg különböző adatkezelések kapcsán mindkettő), szükséged lesz adatfeldolgozó szerződésekre a másik féllel (a feldolgozóval vagy az adatkezelővel).

Az adatfeldolgozói szerződés többek között egyértelműen leszabályozza a felek közötti felelősségmegosztást az adatkezelés kapcsán. Fontos tudni, hogy a szerződést mindenképpen írásban kell megkötni (ide értve az elektronikus formát).

Amennyiben adatfeldolgozó vagy, kiemelten fontos, hogy az adatfeldolgozói szerződés alapján járj el, mert ellenkező esetben adatkezelőnek fognak tekinteni, ami értelemszerűen megnöveli a felelősségedet.

Összefoglalva: a GDPR természetesen nemcsak a papírozásról szól, de tény, hogy a dokumentumok elkészítése fontos és jelentős része a megfeleltetési projektnek. Ugyanis, ha a NAIH kopogtat nálad, hogy ellenőrizné az adatkezelésedet, az első, amit kérni fog, az adatkezeléssel kapcsolatos dokumentumaid lesznek.