GDPR

IT megoldások

Készüljön fel a GDPR megfelelésre!

A GDPR bevezetése minden cégtől jelentős időbeli és anyagi ráfordítást igényel.
Cégünk segít megelőzni a felmerülő akadályokat.
2018.Május 25.-én életbe lép a rendelet, mely alapjaiban változtatja meg az adatkezelés szabályait.

1. Tudatosság
Mivel a GDPR erőfeszítéseket követel meg a szervezetek számos szintjén, ezért szükség van a felső vezetés elkötelezettségére, és nem utolsósorban a tudatosságára az adatvédelmet illetően. A döntéshozóknak tisztában kell lenniük azzal, hogy milyen elvárásokat támaszt a rendelet, és az milyen terheket ró a cégükre.

2. Információtárolás
Dokumentálni kell, hogy a személyes adatokat az adott cég hol tárolja, honnan származnak, ki férhet azokhoz hozzá, és az adatokat kikkel osztja meg. Ezt a fajta felmérést az adott vállalat minden szintjén, minden részlegén el kell végezi.

3. Kommunikáció
A jó esetben jelenleg is meglévő adatvédelmi szabályzatokat felül kell vizsgálni, és minél előbb átalakítani a GDPR kívánalmainak megfelelően.

4. Felhasználói jogok
Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani. Ilyen például a törléshez (elfeledtetéshez) való jog, amit az üzleti folyamatok és a technológia szintjén is kezelni kell.

5. Bejelentések, panaszok kezelése
Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.

6. Adatfeldolgozás
Azonosítani kell az adatfeldolgozó folyamatokat, és megtenni azokat a szükséges változtatásokat, amik biztosítják a GDPR-megfelelőséget.

7. Hozzájárulások rögzítése
A GDPR világosan kimondja, hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Vagyis olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Ez – és persze több más pont is – komoly adminisztrációs terhet ró a vállalatokra, ami új piacot is jelent az adatbiztonsági megoldásokat fejlesztő cégeknek.

8. Gyerekek jogai
A 16. életévüket (egyedi tagállami szabályozás szerint ez akár 13 év is lehet) be nem töltött személyek adatait csak szülői hozzájárulással lehet kezelni. A rendelet elvárása, hogy a technológiai lehetőségekhez mértén ellenőrizni kell azt, hogy a hozzájárulást valóban az arra jogosult szülő adta-e meg.

9. Adatvédelmi hatásvizsgálatok
A szervezeten belül adatvédelmi hatásvizsgálatokat kell lefolytatni, amelyek kapcsolódhatnak a kockázatmenedzsmenthez is. Érdemes mihamarabb kijelölni azokat a munkatársakat, akinek majd feladatuk lesz a vizsgálat lefolytatása, és meghatározni azokat a területeket, melyeket ennek a vizsgálatnak le kell fednie. Ugyancsak fontos az ún. privacy by design alapelv követése. Ez persze nem újdonság, hiszen arról van szó, hogy az adatvédelemnek már a termékek, szolgáltatások kialakítása, fejlesztése során szerephez kell(ene) jutnia.

10. Adatvédelmi tisztségviselő
Időben el kell dönteni, hogy a szervezetnél ki fogja végig vinni a GDPR-re való átállást. Ez történhet a jelenlegi adatvédelmi felelős bevonásával, vagy külső partner segítségével. Belső emberi erőforrások igénybevétele esetén figyelmet kell fordítani az adatvédelmi tisztségviselő képzésére.

11. Nem EU-s cégeknek is van teendőjük
A GDPR egyik nagyon fontos sajátossága, hogy nem kizárólag az EU-ban működő szervezetekre vonatkozik, hanem minden olyan vállalatra, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha az EU-ban történik az adatok tárolása, akkor alapvetően a GDPR a mérvadó, egyéb esetben nemzetközi szerződések, jogszabályok, megállapodások is szerepet kapnak. Ezért ezek jogi szempontból történő feltérképezése nélkülözhetetlen az EU-n kívüli multinacionális cégek számára.

12. Adatvédelmi incidensek kezelése
Végül, de nem utolsósorban, alaposan át kell gondolni az incidenskezeléssel összefüggő folyamatokat és a kapcsolódó technológiai hátteret. Ennek oka, hogy a GDPR előírja, hogy az adatvédelmi incidenseket azok felismerését követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell az illetékes felügyeleti hatóságnak. Ez pedig csak akkor kivitelezhető, ha rendelkezésre állnak a megfelelő eljárásrendek és technológiák. Az incidensek detektálásának és azt követő intézkedéseknek szigorúan szabályozott módon kell történniük, hogy a megfelelőség biztosított legyen egy esetleges nem várt esemény bekövetkeztekor.
Látható, hogy a GDPR többszintű megközelítést igényel, és nemcsak az adatvédelemre, hanem az adatbiztonságra is hatással lesz.

forrás: internet