Készüljön fel a GDPR-ra 9 lépésben!

2017. Szeptember 15. / GDPR

A GDPR előírásai komoly intézkedéseket, munkafolyamatokat érintő változásokat tesznek szükségessé. Alábbi listánkkal szeretnénk segítséget nyújtani abban, hogy a GDPR-ra felkészülést hogyan érdemes elkezdeni.

1.     Növelje a tudatosságot

A GDPR (’Általános adatvédelmi törvény’, hatályos: 2018. májustól) valószínűleg jelentős változásokat hoz a vállalatok adatgyűjtési és feldolgozási módszereiben. A döntéshozóknak meg kell ismerniük a megfelelés szükségességének okait, ill. a megfeleléshez vezető úttal együtt járó feladatokat. A vállalat többi dolgozójával ismertetni kell a munkájukkal kapcsolatos változásokat, különösen, ha személyes adatot kezelnek.

2.     Végezzen adat auditot

A GDPR a természetes személyek („érintettek”) alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi. Az érintettekről gyűjtött minden személyes adatot auditálni és dokumentálni kell, hogy megállapítható legyen, hogy milyen adatokat és milyen célból tárolunk. Ezt a dokumentációt a felügyeleti szervek bármikor bekérhetik.

3.     Kommunikáljon érthetően az érintettekkel

A kétértelmű feltételek alkalmazása az űrlapoknál véget ér. A GDPR előírja, hogy az érintetteket érthetően kell tájékoztatni arról, hogy miért kerülnek gyűjtésre a személyes adataik, ill. azok meddig kerülnek tárolásra. Az érintetteknek kifejezetten hozzá kell járulniuk az adatkezeléshez és el kell fogadniuk az ezekkel kapcsolatos feltételeket; ennek bizonyítási kötelezettsége az adatkezelőre hárul.

Tekintsen át minden lehetséges adatgyűjtési felületet, beleértve a papír alapú űrlapokat is, mivel a GDPR minden olyan információra vonatkozik, amelyet automatizált módon kezelnek, vagy egy nyilvántartási rendszer részét képezi.

4.     Gondolja át az adatgyűjtés célját

A vállalatok kötelesek igazolni, hogy miért van szükségük a gyűjtött személyes adatokra – a szükségesnél több adatot pedig nem gyűjthetnek. A személyes adatok csak addig tárolhatóak, ameddig feltétlenül szükség van rá: a határozatlan ideig való tárolás nem engedélyezett. Lépjen kapcsolatba a különböző szervezeti egységeivel és egyeztessen, hogy mely személyes adatokat gyűjti a cég, ill. hogy azok feltétlenül szükségesek-e. Át kell tekinteni a személyes adatok lejárati dátumának kezelését és a törlés folyamatát.

5.     Ismerje meg az érintettek jogait

Az érintettek bármikor kérhetnek információt a róluk tárolt személyes adatokról, mely kérésükre 30 napon belül reagálni kell. A GDPR ezen felül biztosítja az érintetteknek, hogy kérésük esetén az adatkezelő a személyes adatait törölje, módosítsa, vagy ne használja fel marketing vagy profilalkotási célra. Gondolja át, hogy a szervezete munkafolyamatai miképpen tudják a fenti funkciókat ellátni. A GDPR megköveteli, hogy ezek a funkciók ugyanolyan könnyen elérhetőek legyenek az érintetteknek, mint ahogy a személyes adataikat megadták.

 6.     Biztosítsa az adatok hordozhatóságát

Az érintetteknek biztosítani kell az adatok hordozhatóságának jogát. Ez két módon valósítható meg: egy olyan formátumba exportálva, ami más adatkezelő számára is olvasható, vagy automatizált módon továbbítva másik adatkezelő részére, az érintett közreműködésének szükségessége nélkül (pl. a jelenleg is működő mobiltelefonszám-hordozás rendszere).Ez az előírás a legtöbb vállalat számára újdonságot jelent és szükségessé teszi az iparági szereplők közötti kommunikációt, esetleg egy közös adathordozhatóságot biztosító keretrendszer létrehozását.

7.     Folytasson le adatvédelmi hatásvizsgálatot

Azokban az esetekben, amikor az adatfeldolgozás magas kockázatot jelent az érintettek jogaival szemben, az adatfeldolgozóknak adatvédelmi hatásvizsgálatot kell lefolytatniuk. A hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint GDPR-nak való megfelelés bizonyítását célzó tervezett intézkedéseket.

8.     Ragaszkodjon a biztonsághoz

Az adatok kezelése során az adatfeldolgozó rendszerek és az adatok bizalmasságát, integritását és rendelkezésére állását garantálni és dokumentálni kell. A GDPR előírja a beépített és az alapértelmezett adatvédelem elveinek alkalmazását. Vizsgáljon meg minden olyan rendszert, amely személyes adatokat kezel vagy dolgoz fel és dokumentálja, hogy milyen intézkedésekkel biztosítja ezen rendszerek magas szintű megbízhatóságát, integritását és rendelkezésre állását. Ezután a ’gap-analízist’ követően kirajzolódnak a magas kockázatú területek, amelyekre külön figyelmet kell szentelni.

9.     Alakítson ki reaktív intézkedési tervet

Az adatokat érintő incidenseket az észlelésüktől számított 72 órán belül be kell jelenteni a felügyeleti hatóságnak. Súlyos esetben az adatkezelőnek értesíteni kell az érintetteket az incidensben érintett adatokról, ill. a javasolt intézkedésekről. Bizonyosodjon meg arról, hogy rendelkeznek házirendekkel és folyamatokkal ezekre az esetekre. Pl. legyen készenlétben a felügyeleti hatóság elérhetősége, elegendő mennyiségű log, nyomozást segítő eszközök és sablon üzenetek a felügyeleti hatóságnak és az érintetteknek.

+1.     Forduljon hozzánk

IT biztonsági rendszerekkel, azok forgalmazásával és értéknövelő szolgáltatások nyújtásával foglalkozunk, több mint 25 éve. Mindig is kiemelt területnek tekintettük az adatvédelmet, mivel az adatok képviselik a vállalatok, magánszemélyek részére a legfőbb értéket.

Megoldásainkkal és szakértelmünkkel támogatjuk ügyfeleinket az adatok magasabb szintű védelmének elérésében, az adatok, események nyomonkövethetőségében: végső soron a GDPR előírásainak való megfelelés elérésében.

Bővebb információ a megoldásainkról: itt.

vissza