IT szolgáltatás

GDPR felkészülés: kiút az útvesztőből

2017-11-27

Miközben sokat hallani az új európai adatvédelmi rendeletről, a GDPR-ról (General Data Protection Regulation), továbbá arról, hogy 2018. május 25-től jelentős méretű büntetések várnak azokra, akik megszegik az előírásait, viszonylag kevés szó esik arról, milyen lépéseket kell megtenni egy cégnél a felkészülés érdekében. 

Ön tisztában van vele, hogy milyen lépéseket kell megtennie cégénél a GDPR-ra való felkészüléskor? Összegyűjtöttük a legalapvetőbb tennivalókat.

Mit kell tudni a GDPR-ról?

A GDPR az Európai Parlament és Tanács (EU) 2016/679 számú rendelete, amely a természetes személyek adatainak kezeléséről, védelméről szól. A benne foglaltakat mindenkinek be kell tartania, aki személyes adatokat kezel, legyen szó természetes vagy jogi személyről.

A GDPR minden EU-s tagállamban közvetlenül alkalmazandó, vagyis jellegét tekintve úgy működik majd, mint egy nemzeti törvény. Ugyanakkor a GDPR egyes kérdések szabályozását tagállami hatáskörbe utalja - ezekben az ügyekben a magyar Infotv. továbbra is irányadó lesz.

GDPR felkészülés: kiút az útvesztőből | Invitech Solutions blog

Hogyan készüljön fel a GDPR-ra?

A GDPR szervezeten belüli alkalmazásának legfontosabb lépéséit az alábbiakban foglaljuk össze:

0. lépés

A legelső vagy talán a nulladik lépés a projektet irányító személy kiválasztása. Ő az, aki képes a szervezeten belül a GDPR-nak való megfelelés koordinálására. A GDPR implementáció alapvetően jogi feladat, aminek azonban informatikai vonatkozásai vannak. A projektvezetőnek ennek ellenére nem feltétlenül kell jogásznak vagy informatikusnak lennie. Célszerű olyan szakembert választani, aki átlátja a folyamatokat, a szakmai tartalmat le tudja fordítani a vezetők nyelvére, és tud lobbizni a projekt sikeres véghezviteléért. Fontos, hogy a projektbe bevont munkatársaknak legyen elegendő kapacitása, mert a GDPR implementáció komoly munkával és sok ember bevonásával jár (gondoljunk csak a kezdeti fázisban elengedhetetlen interjúk időigényességére).

1. lépés - Adatleltár készítése („data mapping”)

1.1. A GDPR implementáció kezdeti lépése annak feltérképezése, hogy az adott szervezet milyen személyes adatokat kezel.

A személyes adat fogalom eddig is széles kört ölelt fel, és ezen a GDPR sem változtat:

“Személyes adat „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR alapján például személyes adatnak minősülnek a következők:

  • név, születési adatok, lakcím;
  • foglalkozás, beosztás, munkahely;
  • telefonszám, e-mail cím;
  • IP cím (dinamikus is);
  • az, hogy az érintett milyen oldalakat és milyen gyakorisággal tekint meg;
  • GPS koordináta;
  • kamerafelvétel;
  • hangfelvétel;
  • életrajzi adatok;
  • telefonhívások listája (mind a telefon birtokosa, mind a másik fél vonatkozásában);
  • beszélgetés során elhangzó kijelentés, megjegyzés, vélemény;
  • ügyfélszokások stb.

A magyar Infotv. módosítási tervezetébe bekerültek az elhunytak személyes adatainak kezelésére vonatkozó új szabályok is, amelyre  – a törvénymódosítás elfogadása esetén - szintén figyelemmel kell lenni (a jelenleg hatályos Infotv. szerint a személyes adat csak élő, természetes személyhez kapcsolódhat).

1.2. Az adatleltár elkészítése során végig kell gondolni, hogy egy szervezeten belül mely területek foglalkoznak személyes adat kezelésével, akiknek a bevonása elengedhetetlen. Tipikus területek: ügyfélszolgálat, HR, marketing, IT.

Az adatleltár szerves része a tevékenységelemzés. Ennek során nehéz olyan tevékenységet találni egy szervezeten belül, amihez ne fűződne személyes adat kezelése. A gyakorlati tapasztalat azt mutatja, hogy minden egyes interjú során szélesedik a kezelt adatok köre: újabb területek érintettek az adatkezelésben, és végül szinte a szervezet egésze bevonandó az adatleltár elkészítésébe, és a GDPR jelentette kihívások kezelésébe.

1.3. Az adatleltár eredménye egy helyzetelemzés, ami magába foglalja az adatvagyon felmérését és a hiányosságok feltárását is („gap analízis”).

2. lépés – Adattisztítás

Ha az adatleltár során megtörtént a helyzetértékelés, következhet az adattisztítás, amely során üzletileg értékelni szükséges, hogy mely adatokra van szükség. Amennyiben valóban szükséges egy adat megtartása, akkor meg kell határozni az adatkezelés jogalapját, az adatkezelés célját, valamint a tárolási időt.

Ha a meglévő (régi) adatbázist nem kell egészében törölni, akkor annak tisztítását annak érdekében kell elvégezni, hogy az megfeleljen az új szabályozásnak. Az új adatbázisokat ezután a GDPR alapelvei és jogalapjai szerint kell felépíteni.

3. lépés – Dokumentáció

A GDPR által bevezetett új „szuperalapelv”, az elszámoltathatóság. Ebből kiindulva fontos az adatkezelés dokumentáltsága, így az utolsó fázis a “papírmunka” elvégzése. A GDPR szellemiségéből kiindulva az adatkezelőnek minden, személyes adat kezelésével kapcsolatos döntését dokumentálnia kell, és azt adott esetben a vizsgáló hatóság tudomására kell hozni.

Az utolsó lépés főként az alábbi dokumentumok megalkotását, aktualizálását érinti:

  • Tájékoztatók
  • Nyilatkozatok
  • Belső adatvédelmi nyilvántartás
  • Szerződések (ügyfelekkel, adatfeldolgozókkal)
  • Belső szabályzatok (adatkezelési, panaszkezelési, incidensbejelentési, adatvédelmi hatásvizsgálat elkészítésére vonatkozó szabályzat stb.)

Amennyiben a cég mérete, tevékenysége ezt indokolttá teszi, javasolt külső szakembereket is bevonni a fent vázolt folyamatba. Különösen fontos ez akkor, ha a vállalatnál nem áll rendelkezésre a megfelelő jogi, illetve informatikai szaktudás, vagy egyszerűen nincs rá elegendő kapacitás, hogy a cég szakemberei kellőképpen elmélyedjenek az új szabályozás részleteiben.


Bővebben érdekli a GDPR témája, esetleg a projekt megvalósításában igényelne segítséget?
Az Intelligens Biztonsági Szolgáltatások aloldalunkon tájékozódhat a rendelet részleteiről, a kapcsolódó jogszabályokról, és kapcsolatba léphet velünk.

Címkék: adatvédelem GDPR