Miközben sokat hallani az új európai adatvédelmi rendeletről, a GDPR-ról (General Data Protection Regulation), továbbá arról, hogy 2018. május 25-től jelentős méretű büntetések várnak azokra, akik megszegik az előírásait, viszonylag kevés szó esik arról, milyen lépéseket kell megtenni egy cégnél a felkészülés érdekében - állapítja meg az Invitech Solutions blogja.
A GDPR az Európai Parlament és Tanács (EU) 2016/679 számú rendelete, amely a természetes személyek adatainak kezeléséről, védelméről szól. A benne foglaltakat mindenkinek be kell tartania, aki személyes adatokat kezel, legyen szó természetes vagy jogi személyről.
A GDPR minden EU-s tagállamban közvetlenül alkalmazandó, vagyis jellegét tekintve úgy működik majd, mint egy nemzeti törvény. Ugyanakkor a GDPR egyes kérdések szabályozását tagállami hatáskörbe utalja - ezekben az ügyekben a magyar Infotv. továbbra is irányadó lesz.
Fel kell készülni a GDPR-ra - de hogyan tegyük?
A GDPR szervezeten belüli alkalmazásának legfontosabb lépéséit:
0. lépés: A legelső vagy talán a nulladik lépés a projektet irányító személy kiválasztása. Ő az, aki képes a szervezeten belül a GDPR-nak való megfelelés koordinálására. A GDPR implementáció alapvetően jogi feladat, aminek azonban informatikai vonatkozásai vannak. A projektvezetőnek ennek ellenére nem feltétlenül kell jogásznak vagy informatikusnak lennie. Célszerű olyan szakembert választani, aki átlátja a folyamatokat, a szakmai tartalmat le tudja fordítani a vezetők nyelvére, és tud lobbizni a projekt sikeres véghezviteléért. Fontos, hogy a projektbe bevont munkatársaknak legyen elegendő kapacitása, mert a GDPR implementáció komoly munkával és sok ember bevonásával jár (gondoljunk csak a kezdeti fázisban elengedhetetlen interjúk időigényességére).
1. lépés: Adatleltár készítése („data mapping”)
1.1. A GDPR implementáció kezdeti lépése annak feltérképezése, hogy az adott szervezet milyen személyes adatokat kezel.
A személyes adat fogalom eddig is széles kört ölelt fel, és ezen a GDPR sem változtat:
“Személyes adat „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
A GDPR alapján például személyes adatnak minősülnek a következők:
- név, születési adatok, lakcím;
- foglalkozás, beosztás, munkahely;
- telefonszám, e-mail cím;
- IP cím (dinamikus is);
- az, hogy az érintett milyen oldalakat és milyen gyakorisággal tekint meg; GPS koordináta;
- kamerafelvétel;
- hangfelvétel;
- életrajzi adatok;
- telefonhívások listája (mind a telefon birtokosa, mind a másik fél vonatkozásában); beszélgetés során elhangzó kijelentés, megjegyzés, vélemény; ügyfélszokások stb.
A magyar Infotv. módosítási tervezetébe bekerültek az elhunytak személyes adatainak kezelésére vonatkozó új szabályok is, amelyre – a törvénymódosítás elfogadása esetén - szintén figyelemmel kell lenni (a jelenleg hatályos Infotv. szerint a személyes adat csak élő, természetes személyhez kapcsolódhat).
1.2. Az adatleltár elkészítése során végig kell gondolni, hogy egy szervezeten belül mely területek foglalkoznak személyes adat kezelésével, akiknek a bevonása elengedhetetlen. Tipikus területek: ügyfélszolgálat, HR, marketing, IT.
1.3. Az adatleltár eredménye egy helyzetelemzés, ami magába foglalja az adatvagyon felmérését és a hiányosságok feltárását is („gap analízis”).
Követsd az oldalunkat a Facebook-on és a Twitteren is!
Kövesd az oldalunkat a Facebook-on és a Twitteren is!