A nagy GDPR-para és ami mögötte van

A nagy GDPR-para és ami mögötte van
A GDPR komoly dolog, május 25-től komoly büntetésnek néznek elébe azok, akik nem felelnek meg az előírásoknak. Mit is kell tudni, mi is az a GDPR?

Miközben sokat hallani az új európai adatvédelmi rendeletről, a GDPR-ról (General Data Protection Regulation), továbbá arról, hogy 2018. május 25-től jelentős méretű büntetések várnak azokra, akik megszegik az előírásait, viszonylag kevés szó esik arról, milyen lépéseket kell megtenni egy cégnél a felkészülés érdekében - állapítja meg az Invitech Solutions blogja.

A GDPR az Európai Parlament és Tanács (EU) 2016/679 számú rendelete, amely a természetes személyek adatainak kezeléséről, védelméről szól. A benne foglaltakat mindenkinek be kell tartania, aki személyes adatokat kezel, legyen szó természetes vagy jogi személyről.

A GDPR minden EU-s tagállamban közvetlenül alkalmazandó, vagyis jellegét tekintve úgy működik majd, mint egy nemzeti törvény. Ugyanakkor a GDPR egyes kérdések szabályozását tagállami hatáskörbe utalja - ezekben az ügyekben a magyar Infotv. továbbra is irányadó lesz.

Fel kell készülni a GDPR-ra - de hogyan tegyük?

A GDPR szervezeten belüli alkalmazásának legfontosabb lépéséit:

0. lépés: A legelső vagy talán a nulladik lépés a projektet irányító személy kiválasztása. Ő az, aki képes a szervezeten belül a GDPR-nak való megfelelés koordinálására. A GDPR implementáció alapvetően jogi feladat, aminek azonban informatikai vonatkozásai vannak. A projektvezetőnek ennek ellenére nem feltétlenül kell jogásznak vagy informatikusnak lennie. Célszerű olyan szakembert választani, aki átlátja a folyamatokat, a szakmai tartalmat le tudja fordítani a vezetők nyelvére, és tud lobbizni a projekt sikeres véghezviteléért. Fontos, hogy a projektbe bevont munkatársaknak legyen elegendő kapacitása, mert a GDPR implementáció komoly munkával és sok ember bevonásával jár (gondoljunk csak a kezdeti fázisban elengedhetetlen interjúk időigényességére).

1. lépés: Adatleltár készítése („data mapping”)
1.1. A GDPR implementáció kezdeti lépése annak feltérképezése, hogy az adott szervezet milyen személyes adatokat kezel.

A személyes adat fogalom eddig is széles kört ölelt fel, és ezen a GDPR sem változtat:

“Személyes adat „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR alapján például személyes adatnak minősülnek a következők:

  • név, születési adatok, lakcím;
  • foglalkozás, beosztás, munkahely;
  • telefonszám, e-mail cím;
  • IP cím (dinamikus is);
  • az, hogy az érintett milyen oldalakat és milyen gyakorisággal tekint meg; GPS koordináta;
  • kamerafelvétel;
  • hangfelvétel;
  • életrajzi adatok;
  • telefonhívások listája (mind a telefon birtokosa, mind a másik fél vonatkozásában); beszélgetés során elhangzó kijelentés, megjegyzés, vélemény; ügyfélszokások stb.

A magyar Infotv. módosítási tervezetébe bekerültek az elhunytak személyes adatainak kezelésére vonatkozó új szabályok is, amelyre – a törvénymódosítás elfogadása esetén - szintén figyelemmel kell lenni (a jelenleg hatályos Infotv. szerint a személyes adat csak élő, természetes személyhez kapcsolódhat).

1.2. Az adatleltár elkészítése során végig kell gondolni, hogy egy szervezeten belül mely területek foglalkoznak személyes adat kezelésével, akiknek a bevonása elengedhetetlen. Tipikus területek: ügyfélszolgálat, HR, marketing, IT.

1.3. Az adatleltár eredménye egy helyzetelemzés, ami magába foglalja az adatvagyon felmérését és a hiányosságok feltárását is („gap analízis”).

A teljes cikk itt olvasható!

Követsd az oldalunkat a Facebook-on és a Twitteren is!

Kövesd az oldalunkat a Facebook-on és a Twitteren is!



Címkék: GDPR, adatvédelem