Hogyan befolyásolja a GDPR a szervezet által gyűjtött felhasználói adatokat?

Hogyan befolyásolja a GDPR a szervezet által gyűjtött felhasználói adatokat?

Írta Ricardo Álvarez, az OpenKM USA tagja 2020. november 20-án

Az Európai Általános Adatvédelmi Rendelet elsődleges célja annak biztosítása, hogy minden ember képes legyen ellenőrizni, hogy ki gyűjti és dolgozza fel adatait, továbbá, hogy mire használják fel, emellett garantálja, hogy a lehető legbiztonságosabban kezeljék azokat. A törvény azokra a világméretű vállalatokra vonatkozik, amelyek az Európai Unió határain belül lépnek kapcsolatba az állampolgárokkal.

GDPR Követelmények

Mivel a GDPR megfelelőségnek számos szabálya van, ezért mindig ellenőriztetnie kell egy szakértővel, hogy az Ön vállalata megfelel-e ezeknek a követelményeknek. Minden további nélkül tehát felsoroljuk itt azokat a legfőbb pontokat, amelyeket minden szervezetnek be kell tartania, ahhoz, hogy megfeleljen a GDPR előírásainak:

Információ audit

Tartson olyan auditokat, amelyek meghatározzák az adatkezelés céljait és annak részleteit. Pontosítsa, hogy milyen jellegű adatokat kíván feldolgozni, ki férhet hozzá, ideértve a harmadik feleket is, nyilatkozzon a jelenlegi adatvédelmi rendszeréről, adja meg a felhasználói adatok életciklusát, illetve azt is, hogy a vállalata mikor szándékozik azokat törölni.

Adatvédelmi irányelvek

A GDPR 12. cikkeje szerint, olyan nyilvános adatvédelmi irányelvekkel kell rendelkeznie, amelyek megadják az adatgyűjtés okait. Ennek a házirendnek tartalmaznia kell az adatgyűjtés célját, a feldolgozásának módját, hogy ki férhet hozzá, valamint a biztonság érdekében alkalmazott biztonsági intézkedéseket is. Ezeknek az információknak a lehető legátláthatóbbnak kell lennie és akkor kell őket megjelenítenie, amikor a felhasználói adatokat be szeretné gyűjteni.

Felhasználók jogai

A felhasználóknak számos joga van az Ön által tárolt adatokkal kapcsolatban, de a legalapvetőbb jogok a következők:

1. Felhasználói adatok megismerése

A felhasználóknak joguk van tudni, hogy milyen személyes adatokat, hogyan, miért és mennyi ideig tervez eltárolni róluk.

2. Felhasználói adatok frissítése

A felhasználóknak joguk van bármikor kérelmezni a személyes adataik frissítését. Az adatok pontos és biztonságos frissítéséhez pedig egy jól átlátható rendszerre van szükség.

3. Felhasználói adatok törlése

A felhasználók bármikor kérvényezhetik az Ön által tárolt személyes adatok teljes vagy részleges törlését. Csak néhány olyan kivételes eset van, amely esetén Ön megtagadhatja ezt a kérelmet, ehhez azonban egyeztetni kell jogi szakértővel.

Összességében tehát, egyértelmű kommunikációs utat kell kialakítani, amely lehetővé teszi, hogy minden kérésnek egy hónapon belül eleget tegyen, és mindig győződjön meg a felhasználó személyazonosságának helyességéről is.

Adatvédelmi intézkedések

Az adatok védelme érdekében implementálja és alkalmazza a megfelelő technikai intézkedéseket. Ezek alatt a következőket értjük: fájlok titkosítása, szervezeti szabványok bevezetése, az összegyűjtött személyes adatok mennyiségének korlátozása, az alkalmazottak képzése a dokumentumok helyes kezelésére, az adatok életciklusának definiálása, valamint a nem használt adatok kézi vagy automatizált törlése. Az előbb felsorolt védelmi eljárások többségét egy biztonságos dokumentumkezelő szoftver segítségével könnyedén megvalósíthatja.

Adatsértéssel kapcsolatos értesítések

A GDPR 33. cikkeje szerint, ha olyan adatsértési esetet észlel, amely a GDPR törvény hatálya alá tartozó jogalanyt veszélyezteti, akkor Ön köteles 72 órán belül értesíteni az illetékes hatóságot. Arról nincs konkrét rendelkezés, hogy milyen hatósághoz kell fordulniuk az EU-n kívüli szervezeteknek. A nyelvi hasonlóságok miatt az amerikai vállalatoknak az írországi adatvédelmi biztos hivatalát ajánlott értesíteni. Az adatvédelmi jogsértéseket az érintettekkel is közölnie kell, kivéve, ha a biztonsági rés nem veszélyezteti őket.

Adatfeldolgozási megállapodás

Adatfeldolgozási megállapodást kell kötnie, minden olyan harmadik féllel, akik az érintettek adatait kezelik. Számos megállapodási sablont talál online, amelyek részletezik a felek jogait és kötelezettségeit a GDPR megfelelőség értelmében, ugyanakkor minden szerződéskötés alkalmával figyelnie kell a sajátosságokra.

Adatvédelmi felelős

Végül de nem utolsó sorban, meg kell győződnie arról, hogy van a vállalatnál kijelölt személy a GDPR betartásának ellenőrzésére. Ezzel tudja ugyanis garantálni, hogy van valaki, aki képes a vállalat adatvédelmi politikáját, eljárásait és státuszát kiértékelni, valamint betartatni a szabályokat és kikényszeríteni az elszámoltathatóságot a dokumentumok biztonsága érdekében.

GDRP alapfogalmak

A következő alapfogalmak megismerése rendkívül fontos ahhoz, hogy megértse, hogy a GDPR törvényei miként képesek az Ön vállalkozását befolyásolni. További információért kérjük, olvassa el az Európai Unió Adatvédelmének Általános Szabályairól szóló cikkünket és tekintse meg a Vállalkozások számára készített GDPR útmutatónkat is.

Mi az adatfeldolgozás?

Az érintettektől származó személyes adatok gyűjtése, rögzítése, rendszerezése, strukturálása, tárolása, adaptálása, módosítása, visszakeresése, felhasználása, nyilvánosságra hozatala, törlése vagy megsemmisítése adatfeldolgozási eseménynek minősül. Más szavakkal, az ügyfél bármely adatának felhasználása adatkezelésnek minősül, és az adatvédelmi előírások hatálya alá tartozik.

Ki minősül adatfeldolgozónak?

Olyan természetes vagy jogi személy, állami hatóság, ügynökség vagy bárki, aki az adatkezelő nevében személyes adatokat dolgoz fel.

Kit tekintünk érintettnek?

Az általános adatvédelmi rendelet az érintetteket, mint "azonosított vagy azonosítható természetes személyként" meghatározza meg (1). Más szavakkal, az adatvédelem elvei vonatkoznak minden olyan vállalatra, amely akár az uniós polgároktól, akár az EU-n kívül élő állampolgároktól származó információkkal foglalkozik.

Ki az adatkezelő?

Az adatkezelő, az személy, aki meghatározza a személyes adatok feldolgozásának céljait, feltételeit és eszközeit. Más szavakkal, az adatkezelő az, aki minden egyes adatgyűjtés, feldolgozás mögött rejlő szándékot meghatároz, függetlenül attól, hogy Ő maga fogja végrehajtani vagy sem. 

Összefoglaló

Az adatvédelmi irányelvek alapjainak megértéséhez nincs szükség GDPR specialistára. Viszont kétségtelen, hogy számtalan gondot spórol meg Önnek, és talán az ügyfelek megértésében és a velük való kapcsolattartásban is a segítségére lehet egy képzett GDPR szakértő.

Nincs szükség külön eszközre, ahhoz, hogy megtudjon felelni a GDPR előírásoknak, habár egy DMS elősegítheti a szervezet számára bizonyos dokumentum ellenőrzési szabályok felállítását, a hozzáférési stratégia beállítását, a folyamatok automatizálását és a dokumentumkezelési eljárások szabványosítását, csökkentve ezzel az adatsértési kockázatokat is. Összességében tehát egy dokumentumkezelő szoftver bevezetésével biztosíthatja az ügyfelek adatainak aktív védelmét, valamint segít elkerülni az adatsértéssel kapcsolatos bírságokat is.

Cikkünk nem ad teljes körű tájékoztatást a témában, mindenképpen olvassa el és értelmezze a vonatkozó jogszabályokat!