Adatvédelmi alapozó #6// Adatkezelés: mit kell csinálni és mivel?

Ha személyes adatokat kezelsz, neked bizony foglalkoznod kell az adatvédelemmel, nincs mese. Rád is vonatkozik a GDPR…akkor most hogyan tovább?!

Azt szükséges tisztázni TE ki vagy az adatkezelési folyamatban, illetve kik és milyen szerepet töltenek még be melletted. Lehetsz: adatkezelő, adatfeldolgozó, vagy akár mindkettő is egyszerre.

Amikor már megvannak a szerepkörök, meg kell nézni, hogy adatvédelmi tisztviselő (DPO) szükséges eleme-e a folyamatnak.

Eljutottunk oda, hogy megvan kik azok a szereplők, akik részesei magának az adatkezelésnek.

De miből is áll egy adatkezelés?

Az uniós adatvédelmi szabályok értelmében az adatkezelésnek tisztességesen és szabályszerűen kell történnie, továbbá meghatározott és jogszerű célt kell szolgálnia, és nem haladhatja meg az ehhez szükséges mértéket.

Ez a gyakorlatban azt jelenti, hogy pontosan meg kell határozni milyen adatokat gyűjtünk be (név, email, cím..stb.), melyiket milyen célból kérjük el (pl email címet kapcsolattartás miatt), illetve az adott adatok kezelése milyen jogalapon történik (az email címes példánál maradva, az érintett hozzájárulását adta).

Amikor meghatározásra kerülnek ezek a paraméterek, akkor ezt kommunikálni kell jól elérhető, érthető módon az érintettek felé- hiszen az adatok tulajdonosainak tisztában kell lenniük vele, hogy mihez járulnak hozzá. Erre szolgál az Adatkezelési tájékoztató, amiben ezen felül a GDPR még egyéb kötelező elemeit adja meg a tájékoztatásnak.

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű válaszképpen önkéntes, konkrét, tájékoztatáson alapuló hozzájárulását adja. A hozzájárulásnak egyértelmű megerősítő cselekedeten kell alapulnia. Erre példa, ha az érintett a honlapon bejelöl egy erre vonatkozó négyzetet vagy aláír egy hozzájárulási nyilatkozatot papír alapon.

Az adatkezelőnek bizonyítani kell tudnia – kiváltképp az adatvédelmi hatóság felkérésére, például vizsgálat során –, hogy az általános adatvédelmi rendelettel összhangban jár el, és eleget tesz az összes kötelezettségének. Ennek az egyik módja az, ha részletes nyilvántartást vezet, melynek kötelező paramétereit szintén tartalmazza a GDPR.

E mellett mindennapi folyamataiban megválaszolja az érintettek kérdéseit, kezeli az esetleges adatvédelmi incidenseket (a személyes adatok megsértésének eseteit).

Vannak még további feladatok, speciális esetekre, jogalapokra vonatkozó tevékenységek (pl. érdekmérlegelési teszt készítése), melyek mind az adatkezelő kötelezettségei az adatkezelés folyamatában.

Tehát amikor valaki felteszi, hogy „Oh hát kérem az adatkezelés csak egy tájékoztató a weboldalra!”, illetve nem érti miért nem elég „egy sablon” alapján elkészíteni azt- akkor szükséges abba belegondolni, hogy hogyan is ismerhetné magát a szolgáltatás vagy termékértékesítés folyamatát egy sablon. Milyen adat, kitől, milyen alapon, melyik országba (szoftveren, applikáción, tárhelyen át) megy át- milyen adatfeldolgozókon keresztül.

Amennyiben ezekkel a feladatokkal tisztában vagy, és a kivitelezésük módjával is- úgy nincs szükséged adatvédelmi tanácsadásra. Ellenben, ha vannak hiányos területek, keress nyugodtan!

ICSA