GDPR: megfelelés

A GDPR minden olyan adatra kiterjed, amely egy természetes személyt azonosít, illetve amely által egy természetes személy azonosítható.

A rendelet értemében a GDPR körében minden olyan módszert meg kell vizsgálni, amit valaki felhasználhat az azonosításra. A rendelet hatálya alatt személyes adatnak minősülnek az olyan online azonosítók is, mint például a jelszavak, a cookie-azonosítók és az IP címek. 

A GDPR szerint az adatkezelőnek igazolnia kell tudnia, hogy kellő gondossággal kezeli a személyes adatokat, és csak arra használja azokat, amire felhatalmazása van. Az igazolás alapja az adatvédelmi nyilvántartás, a megfelelő tájékoztatások és a belső adatkezelési szabályok megléte. Az érintettek számára biztosítani kell az adatok kikérhetőségét, ellenőrizhetőségét, módosításának és törlésének kérését, valamint egyes esetekben az ingyenes hordozhatóságát.

A GDPR bonyolítja ugyan a vállalkozások életét, de közben kiváló alkalmat is kínál, hogy felmérjék, milyen adatok keletkeznek a cégnél, azokat mire használják, egységesítsék az adatszerkezetüket és az adattárolást – valóban hasznos adatbázissá alakítva a nagy mennyiségű adatokat. Egy ilyen adatbázisra már algoritmusokat lehet építeni, amelyek megkönnyítik a céges döntéshozatalt és/vagy az ügyfelek elérését. 

Hogyan csináljuk mindezt?

1. Gondoljuk végig, hogy a cég működése során kezel-e személyes adatokat? Ha a cégnek akár csak egyetlen munkavállalója és/vagy magánszemély ügyfele vagy beszállítója is van, akkor a válasz egyértelműen igen.

2. Készítsünk adatleltárt. Írjuk össze, hogy milyen érintettek milyen adatait és hogyan kezeli a cég. Utóbbit illetően a két legfontosabb kérdés a tárolás – informatikai és fizikai – biztonsága, és a különböző szintű hozzáférési lehetőséggel bíró munkatársak köre. Azonosítsuk, hogy az adatok hány különböző céllal kerültek a céghez – ezek mind különböző adatkezelések.

3. Gondoljuk végig és dokumentáljuk, hogy a különböző adatkezelések esetében mi az adatkezelés jogalapja, és hogy megfelelnek-e a GDPR alapelveinek (jogszerűség, tisztességesség, átláthatóság; célhoz kötöttség; adattakarékosság; pontosság; korlátozott tárolhatóság; integritás és bizalmas jelleg; elszámoltathatóság).

4. A megfelelés szempontjából problémás vagy kétséges adatokat a legjobb megsemmisíteni. Az elavult, szükségtelen adatok (például már nem működő mailcímek) biztosan nem fognak hiányozni.

5. Ellenőrizzük, hogy minden adatkezeléshez megvan-e a megfelelő dokumentáció, illetve elkészültek-e a szükséges belső szabályzatok. Ami hiányzik, azt pótoljuk! 

6. Az új adatkezeléseket már eleve a GDPR-nak megfelelően tervezzük meg!

7. A megtisztított, rendszerezett, a szabályozásnak megfelelő adatbázisok nemcsak a cégvezető álmát könnyítik meg, hanem segíthetik az ügyfelek magas szintű kiszolgálását (profilozás), a marketingkommunikációt vagy a munkatársak teljesítményének értékelését is. 

A rendelet alkalmazásáról, és az arra történő felkészülés lépéseiről a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által késztett rövid összefoglaló itt található.