Az előző részben már olvashattatok a GDPR dokumentációjáról. GDPR 4. rész
Ebben a bejegyzésben folytatom a dokumentumok bemutatását.
Adatvédelmi tájékoztató és Adatbiztonsági tájékoztató
A dokumentumok célja az adattulajdonosok tájékoztatása.
Kötelező elkészíteni, én kettéválasztottam, de lehet egy dokumentumot is készíteni belőlük. A lényeg: ÉRTHETŐ, EGYSZERŰ legyen és KÖNNYEN HOZZÁFÉRHETŐ! Ha weboldalunk, webshopunk van, oda fel kell tenni úgy, hogy a látogatónak ne kelljen keresgélnie! Ha üzlethelyiségünk, irodánk, műhelyünk van oda is ki kell tenni jól látható helyen, hozzáférhető módon! Ha vállalkozásunk magánszemélyekkel köt írott szerződést, akkor ez (ezek) a tájékoztató annak mellékletét képezze! Ha törzsvásárlói kártyát adunk az ügyfeleknek akkor meg kell ismerniük a tájékoztató tartalmát!
Ellenőrzésnél biztosan elkérik és átnézik!
Tartalma:
- cég adatai,
- adatvédelmi tisztviselő elérhetőségei
- az adatkezelés fajtái a cégnél külön-külön részletezve: adatkezelés célja, jogalapja, érintettek köre, adatkategóriák, adatok forrása, adatkezelést végző személy, adattörlés határideje,
- adatfeldolgozók adatai külön-külön: melyik milyen adatot használ, milyen célból, milyen jogalappal stb.
- cookie, google adwords, google analytics, hírlevél, közösségi oldalak, ha használja a cég: külön-külön az ezekre vonatkozó adatkezelés bemutatása: melyik milyen adatot használ, milyen célból, milyen jogalappal stb.
- panaszkezelés,
- adatbiztonság,
- adatok védelmének bemutatása,
- érintettek jogai,
- jogorvoslat,
- kártérítés.
Adatkezelési nyilvántartás
Ezt a dokumentumot érdemes először elkészíteni a kockázatelemzést és az adattérképet (valamint az adatvédelmi hatásvizsgálatot) követően. Ezt alapul véve már könnyebb elkészíteni a szabályzatot és a tájékoztatót!
Ez egy belső, összefoglaló dokumentum, ami szintén kötelező és vizsgálják! Az adattérkép alapján tudjuk elkészíteni! Tulajdonképpen részletezzük, hogy milyen adatokat kezelünk, azokkal mi történik adatkategóriákra bontva! Milyen adatkategóriák lehetnek? Ez a vállalkozás tevékenységétől függ. Néhány példa (de ne feledjük, a vállalkozásunkra vonatkozó összes adatkategóriát fel kell sorolnunk a dokumentumban, nem elég egyet-kettőt!):
- munkaviszonnyal összefüggő adatok,
- munkaerő-felvétellel összefüggő adatok,
- vásárlással összefüggő adatok,
- hírlevél küldéssel összefüggő adatok,
- kamerarendszerrel összefüggő adatok stb.
Tartalma:
- Adatkezelési nyilvántartás célja,
- Cég adatai,
- Adatvédelmi tisztviselő adatai,
- Adatfeldolgozók adatai külön-külön,
- Adatvédelmi vizsgálat adatai (ezt végeztük tulajdonképpen el az adattérkép és a kockázatelemzés elkészítésekor valamint az adatvédelmi hatásvizsgálattal),
- ha továbbítunk adatot harmadik országba akkor arról itt írjunk részletesen: adatkezelés célja, jogalapja, érintettek köre, adatkategóriák, adatok forrása, adatkezelést végző személy, adattörlés határideje,
- minden adatkategóriára külön-külön: adatkezelés célja, jogalapja, érintettek köre, adatkategóriák, adatok forrása, adatkezelést végző személy, adatfelhasználó megnevezése, adatvédelmének módja, adattörlés határideje, történik e továbbítás harmadik országba.
Adatkezelési incidens nyilvántartás:
Fontos, kötelező dokumentum! Alap esetben tulajdonképpen egy egyszerű excel táblázat, ami az oszlop fejlécek kivételével üres. Erre a célra szintén egy jól összeállított sablont találtam a neten, amin nem is változtattam: incidens-nyilvantartas VPA
Célja az adatvesztések, adatlopások nyilvántartása. Amellett hogy ezen dokumentáljuk, az incidenseket ne feledjük, hogy gyakorlati feladatunk is van: 72 órán belül jelenteni kell minden adatvesztést, adatlopást a Hatóságnak (erről a 6. bejegyzésben írok részletesen) és minden adattulajdonosnak.
Ellenőrzés szempontjából is fontos a megléte, hiszen felkészültségünket bizonyítjuk!
Adatkezelési megbízás:
Minden adatfeldolgozóval meg kell kötnünk ezt a megállapodást!
A KÖNYVELŐ cégeknek külön figyelniük kell, hogy minden ügyfelükkel legyen ilyen szerződésük!!!
Kik az adatfeldolgozók?
Aki az általunk begyűjtött adatokkal technikai feladatokat végez.
Néhány példa:
- külső adatrögzítő megbízása,
- könyvelő,
- futár,
- hírlevél küldő,
- marketing cég,
- munkaerő közvetítő cég,
- külsős rendszergazda alkalmazása,
- webshopunkon online fizetést biztosító cég,
- ha külsős biztonsági céget alkalmazunk,
- és a virtuális asszisztens megbízása.
Tartalma:
- szerződő felek adatai
- utalás a már meglévő megbízási szerződésre (pl. megkötés dátuma)
- megbízás célja
- mire terjed ki a megbízás, milyen adatokra, ilyen tevékenységekre, mennyi ideig kezeli, adatbiztonság
- adatfeldolgozó és adatkezelő jogai és kötelezettségei
- bevon-e a feldolgozó további adatfeldolgozókat, ha igen azok adatai stb.
2 hozzászólás “GDPR a gyakorlatban 5. rész”