Üdvözöljük a

GDPR – Mit kell tennem vállalkozóként? | Pécs-Baranyai Kereskedelmi és Iparkamara

honlapján!

-

GDPR – Mit kell tennem vállalkozóként?

Szerző: Prókai Csaba | 2018. május 9.

Szinte minden vállalkozást érint a 2018. május 25-én hatályba lépő Egységes Európai Adatvédelmi Rendelet (General Data Protection Regulation). Aki eddig még nem tett semmit azért, hogy megfeleljen, annak nagyon kevés ideje maradt már. Iránymutatásként összeszedtük a legfontosabb lépéseket!

 Az Egységes Európai Adatvédelmi Rendelet a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Legfőbb célja a személyes adatok lehető legbiztonságosabb módon történő kezelése. Személyes adatnak számít az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve, például a név, cím, adó- és TB-szám, igazolvány, egészségügyi vagy ideológiai meggyőződésünkre utaló adat, telefonszám, online adat és e-mail cím. Nincs olyan vállalkozás, akit ne kezelne valamilyen formában személyes adatokat, hiszen munkavállalók, más szerződéses partnerek vagy a vevői adatok mind ide tartoznak.

A legfontosabb változások, amik e cégeket érintik a következők:

  • mielőtt bármilyen adatot bekérünk egy személytől (vevő, munkavállaló,) pontos tájékoztatást kell adnunk, hogy mi az adatkezelés célja, hogyan és meddig kezeljük az adatokat vagy például kik férhetnek hozzá.
  • egy adatbázisból kérésre történő törlés elmaradása (például e-mail cím törlése hírlevél adatbázisból) az eddigieknél jobban számon kérhető, szankcionálható lesz
  • az új jogszabályok magas bírságokkal kényszerítik ki a biztonságos adatkezelést, vagyis azt, hogy személyes adatokhoz ne férhessenek hozzá illetéktelenek. A bíró gyakorlat még hiányzik, de a bírság akár 20 millió euró vagy az éves árbevétel 4 %- a is lehet
  • olyan eseteket is szabályoz és szankcionál a rendelkezés, amikor például egy hackertámadás következtében személyes adatok kikerülnek az adatkezelő rendszeréből, ellopják azokat vagy ha egy rendszerhiba miatt megsemmisülnek. Nagyobb lesz a felelősség az adatkezelőkön.

Minden vállalkozás más és más, ezért nem lehet egy általános útmutatót készíteni, azonban összeszedtük a legfontosabb teendőket, melyeken érdemes végigfutni:

 

  1. Készítsen egy adatleltárt, vagyis írja össze, hogy milyen forrásból milyen adatokat kezel a vállalkozása (munkajogviszonyból származó adatok, szerződések, ügyfelek adatai stb.).Ezt követően azonosítsa be, hogy mi számít személyes adatnak. Csak olyanok adatok legyenek a vállalkozás birtokában, amelyekre bizonyíthatóan szükség van és jogszerűen jutott hozzá.
  2. Nézze meg, hogy a vállalkozásnál milyen eltérések vannak az eddigi adatkezelési gyakorlatban a GDPR-ban előírtakhoz képest! Ilyen lehet akár a hozzájárulás alapján kezelt adatok esetében az adatot szolgáltató részére adott tájékoztatás megfelel-e a GDPR előírásainak, adatkezeléssel kapcsolatos nyilvántartások pl. adatkezelési nyilvántartás, adattovábbítási nyilvántartás, adatvédelmi incidens stb., az adatkezelés jogalapja, IT biztonsági előírások.
  3. Győződjön meg róla, hogy rendelkezik a már szükségtelen adatok biztonságos megsemmisítésére vonatkozó gyakorlattal és eszközökkel (pl. iratmegsemmisítő)!
  4. Határozza meg, hogy kinek milyen adatokhoz lehet jogszerű hozzáférése a vállalkozásnál, gondoskodjanak az iratok és egyéb adathordozók (pl. CD, pendrive) megfelelő tárolásról!
  5. Ellenőrizze szabályzatait! Bizonyosodjon meg róla, hogy az új alapelvek mind szerepelnek az ügyrendi szabályzatokban! Új alapelvek: a kifejezett hozzájárulás, az adatok törlésére való jog, az adathordozhatósághoz való jog és a tiltakozáshoz való jog.
  6. Dolgozzon ki eljárásmódot az adatvédelmi incidens jelentésére és elhárítására! Az adatvédelmi incidens a rendelet értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
  7. Vizsgálja át a vállalkozásnál megtalálható szerződéseket, beleértve a beszállítói szerződéseket is, mivel a beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést.
  8. Külön rendelkezni kell arról, hogy harmadik félnek milyen adatokat lehet átadni.
  9. Készítse fel a kollégákat is az adatvédelmi feladatokra, szükség esetén vegye fontolóra adatvédelmi biztos kinevezését, bizonyos esetekben ez kötelező.
  10. Ellenőrizze az IT biztonságot, kellően erős informatikai védelemmel rendelkezik e (pl. tűzfal), a szoftverek, amiket használ megfelelnek-e a GDPR elvárásainak,
  11. A GDPR-nak történő megfelelést nem lehet egy alkalommal letudni, mivel a változó környezet folyamatos beavatkozást igényel. Rendszeresen vizsgálja meg, hogy meg tud-e felelni vállalkozása a GDPR-nak, azonosítsa az esetleges problémákat és orvosolja azokat!
  12. A GDPR hatályba lépéséig ez egy intenzív felkészülési szakaszt jelent, el kell végezni a selejtezést és gondoskodni kell a fölösleges iratok biztonságos megsemmisítéséről. Május 25. után pedig folyamatosan kell végezni ezt a tevékenységet, hogy vállalkozása eleget tudjon tenni a GDPR-ban előírtaknak.

Amennyiben egyedül nem boldogul, vegye igénybe szakértő segítségét! Az Interneten rengeteg cég kínálja szolgáltatásait, azt azonban figyelembe kell venni, hogy a 2018. május 25-ei határidő miatt nem egyszerű olyan céget találni, aki határidőre vállalja az auditot és segít megfelelni a rendeletnek.

 

A kamara önkéntes tagjai számára további hasznos tartalmak érhetőek el jelszó birtokában!