Blog
Blog » PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES
PAPÍROZD LE! – 5 ALAPDOKUMENTUM, AMI A GDPR MEGFELELŐSÉGHEZ SZÜKSÉGES
09 March 2018
A múlt héten az egyik megbízónk egy GDPR-el kapcsolatos megbeszélésen „kifakadt”: komolyan az az érzésem, hogy ez az egész GDPR projekt csak papírozásról szól. Bár ez nem teljesen igaz, abban teljesen egyetértünk a megbízóval, hogy a megfeleltetési projekt jelentős része különböző dokumentumok elkészítése és elfogadása. Rövid cikkünkben összegyűjtöttünk 5 alapdokumentumot, amely mindenképpen szükséges ahhoz, hogy megfelelhess a GDPR-nek.
1. Adatkezelési tevékenységek nyilvántartása
A GDPR alapján egyértelmű, hogy mind az adatkezelők, mind az adatfeldolgozók adatkezelési tevékenység nyilvántartást kell, hogy vezessenek, amely az adott adatkezelési tevékenység alapadatait tartalmazza (pl. a kelet adatok kategóriáit, harmadik országba történő adattovábbítás tényét).
Az adatkezelői és az adatfeldolgozói nyilvántartás eltérő tartamú: míg az adatkezelői nyilvántartás tartalmazza például az adattárolási határidőket, ez nyilvánvalóan nem tartalma a feldolgozói nyilvántartásnak, hiszen nem a feldolgozó határozza meg a határidőket.
Amennyiben az adatkezelési folyamataid felülvizsgálata során arra a következtetésre jutsz, hogy adatkezelő és adatfeldolgozó is vagy, az a jó hírünk van számodra, hogy két nyilvántartást is vezethetsz. Például egy fuvarozó a saját munkavállalói kapcsán adatkezelő (1. nyilvántartás), viszont a megrendelője vásárlói adatait már adatfeldolgozóként kezeli (2. nyilvántartás).
2. Belső adatvédelmi és adatkezelési szabályzat
A GDPR előírja, hogy az adatkezelőnek megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy megfeleljen a GDPR-nek, ebbe adott esetben beletartozik az adatvédelmi szabályzatok elfogadása is.
Vagyis, gyakorlatilag kötelező belső adatvédelmi szabályzatot elfogadni, amely leírja az összes adatkezelési folyamatot, az adatkezeléssel kapcsolatos szervezeten belüli feladatokat és felelősségi köröket, az adatbiztonság érdekében tett intézkedéseket, illetve az érintettek jogait és az adatkezeléssel kapcsolatos panaszaik kezelésének módját.
3. Adatkezeléssel kapcsolatos tájékoztatók
A GDPR egyik legfontosabb célja, hogy az érintettek tájékozottak legyenek és tisztában legyenek azzal, hogyan kezelik a személyes adataikat illetve, hogy az adatkezeléssel kapcsolatos jogaikat hatékonyan érvényesíthessék.
Adatkezelőként tehát az adatkezeléssel kapcsolatos minden lényeges információt az érintettek rendelkezésére kell bocsátanod és elő kell segítened az adatkezeléssel kapcsolatos jogaik gyakorlását. Ennek érdekében különböző információs „csomagokat” (vagy ahogy többen ismerik adatkezelési tájékoztatókat) kell összeállítanod, többek között a munkavállaóid vagy a magánszemély ügyfeleid részére. Emellett, ha a honlapodon keresztül hozzájutsz személyes adatokhoz, akkor a honlapodon is közzé kell tenned egy adatvédelmi tájékoztatót.
4. Adatvédelmi incidens nyilvántartás
Tekintetbe véve az összes adatbiztonsági intézkedést, amit a GDPR megfelelőség érdekében vezettél be, az adatvédelmi incidensek messziről el kellene, hogy kerüljenek. Sajnos azonban mindnyájan tudjuk, hogy még a legjobb és legkorszerűbb intézkedések sem tudják teljes egészében kizárni egy incidens lehetőségét.
Ezért, a „tartsd szárazon a puskaport” elv alapján érdemes előkészíteni egy incidensnyilvántartást. A nyilvántartás tartalmazza az incidenst, a hatásait, illetve azokat az intézkedéseket, amelyeket az incidens orvoslása érdekében tettél.
5. Adatfeldolgozói szerződések
Mindegy, hogy adatkezelő vagy adatfeldolgozó vagy (vagy esetleg különböző adatkezelések kapcsán mindkettő), szükséged lesz adatfeldolgozó szerződésekre a másik féllel (a feldolgozóval vagy az adatkezelővel).
Az adatfeldolgozói szerződés többek között egyértelműen leszabályozza a felek közötti felelősségmegosztást az adatkezelés kapcsán. Fontos tudni, hogy a szerződést mindenképpen írásban kell megkötni (ide értve az elektronikus formát).
Amennyiben adatfeldolgozó vagy, kiemelten fontos, hogy az adatfeldolgozói szerződés alapján járj el, mert ellenkező esetben adatkezelőnek fognak tekinteni, ami értelemszerűen megnöveli a felelősségedet.
Összefoglalva: a GDPR természetesen nemcsak a papírozásról szól, de tény, hogy a dokumentumok elkészítése fontos és jelentős része a megfeleltetési projektnek. Ugyanis, ha a NAIH kopogtat nálad, hogy ellenőrizné az adatkezelésedet, az első, amit kérni fog, az adatkezeléssel kapcsolatos dokumentumaid lesznek.
-
WE ARE 15!
Recently we celebrated our 15th Anniversary, which is a very important milestone for us. Looking back, our Office went through a long improvement until the formation of our present profile: providing legal support in domestic and international commercial law issues and helping our clients doing business in Hungary.
Read more » -
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more »