GDPR a gyakorlatban 4.

Előző bejegyzésemben a hatósági ellenőrzésről írtam.  GDPR 3. rész

Ebben a bejegyzésben a GDPR dokumentációját mutatom be.

 

Először is újra meg kell erősítenem, amit már leírtam: nincsenek hivatalos iratminták, cselekvési útmutatók. Amiből ki kell tehát indulnunk: maga a GDPR rendelet, az Infó Tv., és a Hivatal által eddig kiadott állásfoglalások.

Nemrég megjelent az Infó. Tv. módosításának tervezete (a sorozat 9. részében erről írok GDPR 9. rész).

Többféle álláspont, változat kering a neten arról, hogy mit kell tennünk, milyen dokumentumokat kell vezetnünk és laikusként mi-tagadás elég nehéz eligazodnunk.

Megnehezíti a dolgot az is, hogy sokan „rárepültek” a lehetőségre és ezen szeretnének „meggazdagodni” és a szolgáltatásuk igencsak túlárazott, amit egy multi vagy egy középvállalkozás simán kipenget, de egy kisvállalkozónak nagyon mélyen kell a zsebébe nyúlnia. Ebben az esetben azért vélelmezhetően legalább a háttértudás megvan és bízhatunk benne, hogy teljes körűen felkészítenek. De ha egyszer nem tudjuk megfizetni!

A másik véglet, amikor 10 – 30 ezer forintért kínálnak egy dokumentum csomagot és azt sugallják, hogy ezek kitöltése elegendő.  Aztán miután megvette az ember derül ki számára, hogy nem mindig könnyű értelmezni sem, hogy melyik mire való, melyiket kellene használni.

Arról pedig végképpen nem tudnak sokan, hogy nem csak 3-4 dokumentum kitöltése az egész, vannak más feladatok is.

 

Lássuk először a dokumentumokat!

Előre bocsájtom: nem vagyok tökéletes! A mai világban nagyon nehéz bármit is garantálni!

Sokan, sokféle dokumentumot használnak, lehetnek eltérések az általam használtaktól.

Amit én tettem, hogy a lehető legalaposabb munkát végezzek:

  • Tanulmányoztam a GDPR rendeletet, az Infó. törvényt
  • Utána néztem a mások által használt dokumentumoknak
  • Kialakítottam egy saját elképzelést a dologról – mint már írtam eléggé ellenőrzés központút – és felkerestem egy jogászt, akivel értelmeztük, átbeszéltük a rendeletet, törvényt és az általam vitt vázlatokat. Így alakítottam ki saját GDPR szolgáltatásomat.
  • Végül, utólag – amolyan összehasonlításként – nagyon jónak találtam és másoknak is ajánlom: Dr. Glázer Noémi: GDPR gyakorlati kézikönyvét. Bár én akkor bukkantam rá mikor már voltak tapasztalataim és beleástam magam a témába, tehát könnyedén tudtam értelmezni!

Az általam használt dokumentumok melyeket külön-külön, részletesen fogok bemutatni:

  • Kockázat értékelés, Adattérkép
  • Adatvédelmi hatásvizsgálat
  • Adatvédelmi szabályzat
  • Adatvédelmi tájékoztató
  • Adatbiztonsági tájékoztató
  • Adatkezelési nyilvántartás
  • Adatkezelési megbízás
  • Adatkezelési hozzájárulás nyilatkozatok
  • Adatkezelési incidens nyilvántartás
  • Munkavállalók adatkezelési és titoktartási nyilatkozat
  • Tájékoztató tábla kamerarendszerhez
  • Tájékoztató kamerarendszerhez kapcsolódó adatkezelésről
  • Űrlapok kamerarendszerhez

 

Kockázat értékelés, Adattérkép

Az első, amit elkészítek minden ügyfelemmel kapcsolatban az adattérkép. Tulajdonképpen összesítem, hogy milyen adatokat kezel egy egyszerű excel táblában. A hozzá tartozó táblázatot az interneten, teljesen véletlenül találtam és annyira jó, hogy nem is változtattam rajta, ráadásul nyilvános. Innen letöltheted!   adattérkép VPA

Hogy ez miért fontos? Először is megkönnyíti a munkánkat, hiszen segít a többi dokumentum kitöltésében különösen, ha a saját céged dokumentációján dolgozol!

Az ellenőrzés szemszögéből pedig bizonyítod, hogy alaposan felmérted céged adathasználatát.

A kockázat értékelés is az előkészítő munkához kapcsolódik. Ezzel a dokumentummal az adattérképben összegyűjtött adatok kezeléséről, tárolásáról, védelméről készítek felmérést az ügyfél által kitöltött kérdőív alapján. A felmérést egy kockázat kiértékeléssel zárom, melyben leírom, hogy mire kell figyelni az adatok védelménél, és hogy milyen dokumentumokra van szüksége a vállalkozásnak.

A fenti két dokumentum tehát az előkészítésnél kap szerepet, de egy ellenőrzésnél felmutatva kaphatunk értük néhány jó pontot is. Hiszen ne feledjük, azt szeretnénk, hogy az ellenőr lássa, mi mindent beleadtunk, alapos munkát végeztünk. Arról, hogy ez mennyiben segít a bírság elkerülésében, illetve minimalizálásában a 9. bejegyzésben fogok írni GDPR 9. rész .

 

Adatvédelmi hatásvizsgálat

Egy sima kisvállalkozónak ezzel nem kell foglalkoznia. Ezt a dokumentumot csak azoknak kötelező elkészíteni, akik különösen nagy védelmet igénylő adatokat kezelnek.

Ezekben az esetekben azonban kötelező elkészíteni!!:

  • ha a vállalkozás munkaerő közvetítéssel foglalkozik,
  • ha kiskorúak adatait kezeli (pl. iskola, óvoda, oktatási intézmény különösen, ha nem állami fenntartású!),
  • ha hitelképességet vizsgál, pénzügyi adatokat kezel,
  • ha a munkavállalóktól plusz adatokat gyűjt: gazdasági helyzet, egészségi állapot, megbízhatósági átvilágítás,
  • ha megfigyeli a munkavállalókat pl. beléptető rendszer, számítógépek ellenőrzése, kamerák
  • ha fuvarozócég a gépkocsik mozgását GPS el követi,
  • magánnyomozó, biztonsági cég,
  • online fizetési lehetőség van a webshopján,
  • magánpraxist, magánrendelőt működtet (betegadatok),
  • időskorúak, mentálisan betegek adatait kezeli (pl. idősotthon)

Ennek a dokumentumnak az elkészítése hozzáértést igényel, bízzuk szakemberre!

Az ellenőrök ennek meglétére és tartalmára különösen nagy gondot fognak fordítani az ellenőrzésnél véleményem szerint, hiszen nagyon kényes adatokról van szó!

 

Adatvédelmi szabályzat

Nagyon fontos dokumentum! Az ellenőrzésnél kérni fogják és át is nézik! Biztosan súlyos hiányosságnak számít, ha nincs meg! (részletek az arányosság és a fokozatosság elvéről a 9. bejegyzésben GDPR 9. rész ) Ezt minden vállalkozásnak el kell készítenie. Ez a cég belső szabályzata, amely minden adatkezelési és adatvédelmi folyamatra vonatkozik, azokat szabályozza. Ezt minden munkavállalónak el kell olvasnia és a leírtakat be kell tartani.

Tartalma:

  • szabályzat célja,
  • cégadatai,
  • alapfogalmak,
  • jogszabályi háttér,
  • általános alapelvek,
  • szabályzat hatálya,
  • felelősségi körök,
  • konkrét adatvédelmi intézkedések leírása,
  • adattárolás, adatfelhasználás, adattörlés szabályai,
  • az érintettek jogai,
  • tájékoztatás,
  • adatfeldolgozók,
  • adatvédelmi incidens cselekvési terv.

 

Következő bejegyzésemben folytatom a dokumentumok  bemutatását. GDPR 5. rész

SEGÍTHETEK? GDPR SZOLGÁLTATÁSOM

Ha kérdésed van, gyors segítség kellene, keresd fel „GDPR kérdések és válaszok” Facebook csoportomat is: itt

Megjegyzés hozzáfűzése

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

2 hozzászólás “GDPR a gyakorlatban 4.”

error: Content is protected !!