Blog
Blog » PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES
PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES
2018 Március 09
A múlt héten az egyik megbízónk egy GDPR-el kapcsolatos megbeszélésen „kifakadt”: komolyan az az érzésem, hogy ez az egész GDPR projekt csak papírozásról szól. Bár ez nem teljesen igaz, abban teljesen egyetértünk a megbízóval, hogy a megfeleltetési projekt jelentős része különböző dokumentumok elkészítése és elfogadása. Rövid cikkünkben összegyűjtöttünk 5 alapdokumentumot, amely mindenképpen szükséges ahhoz, hogy megfelelhess a GDPR-nek.
1. Adatkezelési tevékenységek nyilvántartása
A GDPR alapján egyértelmű, hogy mind az adatkezelők, mind az adatfeldolgozók adatkezelési tevékenység nyilvántartást kell, hogy vezessenek, amely az adott adatkezelési tevékenység alapadatait tartalmazza (pl. a kelet adatok kategóriáit, harmadik országba történő adattovábbítás tényét).
Az adatkezelői és az adatfeldolgozói nyilvántartás eltérő tartamú: míg az adatkezelői nyilvántartás tartalmazza például az adattárolási határidőket, ez nyilvánvalóan nem tartalma a feldolgozói nyilvántartásnak, hiszen nem a feldolgozó határozza meg a határidőket.
Amennyiben az adatkezelési folyamataid felülvizsgálata során arra a következtetésre jutsz, hogy adatkezelő és adatfeldolgozó is vagy, az a jó hírünk van számodra, hogy két nyilvántartást is vezethetsz. Például egy fuvarozó a saját munkavállalói kapcsán adatkezelő (1. nyilvántartás), viszont a megrendelője vásárlói adatait már adatfeldolgozóként kezeli (2. nyilvántartás).
2. Belső adatvédelmi és adatkezelési szabályzat
A GDPR előírja, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy megfeleljen a GDPR-nek, ebbe adott esetben beletartozik az adatvédelmi szabályzatok elfogadása is.
Vagyis, gyakorlatilag kötelező belső adatvédelmi szabályzatot elfogadni, amely leírja az összes adatkezelési folyamatot, az adatkezeléssel kapcsolatos szervezeten belüli feladatokat és felelősségi köröket, az adatbiztonság érdekében tett intézkedéseket, illetve az érintettek jogait és az adatkezeléssel kapcsolatos panaszaik kezelésének módját.
3. Adatkezeléssel kapcsolatos tájékoztatók
A GDPR egyik legfontosabb célja, hogy az érintettek tájékozottak legyenek és tisztában legyenek azzal, hogyan kezelik a személyes adataikat illetve, hogy az adatkezeléssel kapcsolatos jogaikat hatékonyan érvényesíthessék.
Adatkezelőként tehát az adatkezeléssel kapcsolatos minden lényeges információt az érintettek rendelkezésére kell bocsátanod és elő kell segítened az adatkezeléssel kapcsolatos jogaik gyakorlását. Ennek érdekében különböző információs „csomagokat” (vagy ahogy többen ismerik adatkezelési tájékoztatókat) kell összeállítanod, többek között a munkavállaóid vagy a magánszemély ügyfeleid részére. Emellett, ha a honlapodon keresztül hozzájutsz személyes adatokhoz, akkor a honlapodon is közzé kell tenned egy adatvédelmi tájékoztatót.
4. Adatvédelmi incidens nyilvántartás
Tekintetbe véve az összes adatbiztonsági intézkedést, amit a GDPR megfelelőség érdekében vezettél be, az adatvédelmi incidensek messziről el kellene, hogy kerüljenek. Sajnos azonban mindnyájan tudjuk, hogy még a legjobb és legkorszerűbb intézkedések sem tudják teljes egészében kizárni egy incidens lehetőségét.
Ezért, a „tartsd szárazon a puskaport” elv alapján érdemes előkészíteni egy incidensnyilvántartást. A nyilvántartás tartalmazza az incidenst, a hatásait, illetve azokat az intézkedéseket, amelyeket az incidens orvoslása érdekében tettél.
5. Adatfeldolgozói szerződések
Mindegy, hogy adatkezelő vagy adatfeldolgozó vagy (vagy esetleg különböző adatkezelések kapcsán mindkettő), szükséged lesz adatfeldolgozó szerződésekre a másik féllel (a feldolgozóval vagy az adatkezelővel).
Az adatfeldolgozói szerződés többek között egyértelműen leszabályozza a felek közötti felelősségmegosztást az adatkezelés kapcsán. Fontos tudni, hogy a szerződést mindenképpen írásban kell megkötni (ide értve az elektronikus formát).
Amennyiben adatfeldolgozó vagy, kiemelten fontos, hogy az adatfeldolgozói szerződés alapján járj el, mert ellenkező esetben adatkezelőnek fognak tekinteni, ami értelemszerűen megnöveli a felelősségedet.
Összefoglalva: a GDPR természetesen nemcsak a papírozásról szól, de tény, hogy a dokumentumok elkészítése fontos és jelentős része a megfeleltetési projektnek. Ugyanis, ha a NAIH kopogtat nálad, hogy ellenőrizné az adatkezelésedet, az első, amit kérni fog, az adatkezeléssel kapcsolatos dokumentumaid lesznek.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »