HÍREK, INFORMÁCIÓK

Adatvédelmi megfelelőség 3+1 lépésben

 

Mik azok a lépések, amiket mindenképpen teljesítenie kell egy (induló, vagy már működő) vállalkozásnak ahhoz, hogy adatvédelmi szempontból megfeleljen a jogszabályoknak?

  1. Adatkezelési nyilvántartás

Mindenképpen szükség van arra, hogy egyszer számba vegyük vállalkozásunk összes olyan tevékenységét, amely személyes adatok kezelésével jár. Az adatkezelési nyilvántartás elkészítése kötelező minden adatkezelő számára. Arról, hogy mit kell tartalmaznia az adatkezelési nyilvántartásnak, és milyen formában készíthető el, itt írunk.

  1. Adatkezelési tájékoztató

Az érintetteket (azokat a személyeket, akiknek az adatait kezeljük) tájékoztatni kell arról, hogy az ő adataikat a vállalkozás kezeli, valamint ennek az adatkezelésnek minden lényeges körülményéről. Az adatkezelési tájékoztató elkészítése és elérhetővé tétele a legfontosabb elvárás az adatkezelő felé. Nagyon sok hatósági eljárás a tájékoztatás elmaradása, vagy nem megfelelő volta miatt indul. Ez a leginkább látható dokumentum (hiszen közzétesszük a weboldalunkon), így azonnal látszanak a hibák, és szembetűnő az is, ha hiányzik. Igaz viszont az is, hogy ha a tájékoztató minden elvárásnak megfelelő, magas színvonalú dokumentum, akkor első ránézésre a vállalkozás adatvédelmi szempontból megfelelőnek fog tűnni.

Az adatvédelmi tájékoztatóról részletesen írtunk itt.

  1. Folyamatok megfelelősége

Amennyiben van olyan tevékenysége a vállalkozásnak, ami kifejezetten adatkezelésre irányul, akkor nagyon fontos a folyamatot úgy kialakítani, hogy megfeleljen az adatvédelmi szabályoknak.

A tevékenységek sokfélesége miatt erre nehéz általánosságban megoldást írni, ezért néhány példán keresztül igyekszünk megvilágítani:

  • adatfelvétel esetén (az ügyfelek kitöltenek adatlapot/nyilatkozatot, online űrlapot, kérdőívet), a tájékoztatást az adatfelvétellel egyidejűleg, vagy azt megelőzően meg kell adni. Ha az adatkezelés az érintett hozzájárulásától függ, akkor azt az adatfelvételt megelőzően be kell szerezni tőle. Ennek jellemző módja, hogy az adatlapon/nyilatkozaton, vagy más dokumentumon elhelyezünk egy hozzájáruló nyilatkozatot, amit az Érintett kitölt és aláírásával hitelesít. Online adatfelvétel esetén ugyanez egy bejelölendő négyzet elhelyezésével teljesíthető, ahol az Érintett kipipálja a négyzetet, ezzel igazolva, hogy megkapta az adatvédelmi tájékoztatást és hozzájárul az adatkezeléshez.
  • rögzített telefonbeszélgetések esetén tájékoztatni kell az Érintettet arról, hogy a hívás rögzítve lesz, valamint néhány fontos körülményről (ki az adatkezelő, mi az adatkezelés célja, hol és hogyan juthat részletes tájékoztatáshoz az Érintett az adatkezelés további körülményeit illetően). Tájékoztatni kell az Érintettet az ügyintézés egyéb módjairól, amennyiben nem szeretné, hogy a rögzített hívásban szerepeljenek az adatai.
  • elektronikus megfigyelőrendszer működtetése esetén számos feltételnek kell megfelelni már a kamerák elhelyezésénél is (pl. munkahelyi kamerák esetében nem figyelhetők meg a pihenőidő eltöltésére kialakított helyiségek, vagy a mellékhelyiségek). A megfigyelésről tájékoztató jelzéseket (piktogramokat, a legfontosabb információkat tartalmazó rövid leírást a rendszer működéséről) kell kihelyezni. Kameraszabályzatot kell készíteni, és tájékoztatni kell a megfigyeléssel kapcsolatos információkról minden Érintettet (a munkavállalókat és a telephelyre belépő minden személyt).

+1 Adatvédelmi tudatosság

Minden Adatkezelőnél kell, hogy legyen legalább egy személy (lehet vezető, munkavállaló, vagy külső megbízott), aki a fenti három pontban szereplő dokumentumokat naprakészen tartja, tudatában van a vállalkozás adatkezelési tevékenységeinek, az esetlegesen kockázatos adatkezeléseknek, és meg tudja válaszolni az adatkezelésekkel kapcsolatban felmerülő kérdéseket, panaszokat.

Ha ez a 3+1 feltétel teljesül, a vállalkozás teljesíti azt a minimumot, amivel meg lehet felelni a GDPR feltételrendszerének. Mindez természetesen csak akkor igaz, ha a vállalkozás tevékenysége csak minimális adatkezelést tesz szükségessé.

Ha a vállalkozás munkavállalókat foglalkoztat, biztosítani kell, hogy ők is tisztában legyenek az adatvédelmi szabályokkal, feladatokkal. Ez egy bizonyos munkavállalói létszám felett adatkezelési szabályzat  elkészítését, valamint oktatások megszervezését teheti szükségessé.

Ha a vállalkozás tevékenysége

  • nagy mennyiségű személyes adat kezelésével jár (sok adatát kezeli az Érintetteknek, vagy sok Érintett adatait kezeli)
  • különleges adatok kezelésével jár
  • az alkalmazott technológia, vagy a kezelt adatok érzékenysége miatt nagy kockázatúnak minősül,

akkor további adatvédelmi felkészülésre is szükség lehet. Adatvédelmi hatásvizsgálat elvégzésére lehet szükség, érdekmérlegelési teszteket kell elvégezni, hozzájáruló nyilatkozatokat, szerződéses rendelkezéseket írni, adatvédelmi tisztviselőt (DPO) kinevezni. Ezek a feladatok általában szükségessé teszik szakértő igénybevételét.