13 érv, amiért a Crosssec GDPR tanácsadása több, mint az átlag

GDPR tanácsadás

Az adatvédelem és az adatkezelés fontossága napjainkban egyre inkább előtérbe kerül mind a vállalatok, mind pedig a magánszemélyek számára. Az Európai Unió által létrehozott Általános Adatvédelmi Rendelet (GDPR) minden olyan vállalkozás számára kötelező, amely EU-s állampolgárok adatait kezeli vagy az EU területén nyújt szolgáltatást. A Crosssec Solutions szolgáltatási kínálata ezen a területen messze túlmutat az átlagos GDPR tanácsadáson. Meggyőződésünk, hogy az adatvédelem minden részletére kiterjedő megoldást, és ennek megfelelően széles körű támogatást kell nyújtani a magyar vállalkozások számára.

A Crosssec Solutions által végzett és már egyéni vállalkozói, mikrovállalati és KKV szinttől is elérhető GDPR megfelelési tanácsadás nem csupán a kötelező, „kívülről is látható” adatkezelési tájékoztatók készítését foglalja magában, hiszen a hatósági ellenőrzés során sem kizárólag ezeket vizsgálják. Sajnos nagyon sok olyan sabloncsomagot kínáló szolgáltatóval találkozunk a magyar piacon, amik erősen hiányos, általánosságban megfogalmazott dokumentumokat forgalmaznak, amivel hamis biztonságérzetet adnak a tőlük vásárló vállalkozásoknak.

Szolgáltatásunk a „kívülről látható” elemek mellett a vállalatok belső adatkezelési folyamataira és kötelezettségeire is kitérnek, így biztosítva a valóban teljes megfelelést. Az adatkezelési tájékoztatók elkészítésén felül 13 olyan, jól elkülönülő feladatkörben dolgozunk, melyek megléte ugyanannyira kötelező, mint az adatkezelési tájékoztatók elkészítése, ám a külső szemlélő számára legtöbbször nem láthatók. Cikkünkben ezeket mutatjuk be.

Adatkezelési folyamatok nyilvántartása

Ha nem ismert, hogy milyen folyamatok során történhet adatkezelés, úgy a megfelelő tájékoztatás is hiányos és elégtelen, hiszen bármikor „felbukkanhat” egy-egy olyan terület, amelyre a sablonok vásárlásakor az adatkezelő, vagy a sablonok készítője nem gondolt, nem gondolhatott.

Szükségesség-arányosság vizsgálata adatkezelési folyamatonként

Ha már ismert, hogy melyek azok a céges folyamatok, ahol adatkezelés történik, a rendelet megköveteli, hogy elvégezzük ezek szükségesség-arányosság vizsgálatát, hiszen alapelv például az adatminimalizálás elve: miért tárolnánk el az ügyfelek nemét, ha az semmilyen szinten nem releváns információ az adatkezelési folyamatban? Biztosan szükség van arra, hogy 15 évig tároljuk egy érdeklődő adatait? Egyebek közt ezen kérdéskör megvizsgálásáról van szó.

Adatkezelési nyilatkozatok elkészítése

Tapasztalataink alapján legtöbbször összekeverik az adatkezelési nyilatkozatokat és az adatkezelési tájékoztatókat. Bizonyos jogalapok esetén nincs szükség az érintett fél hozzájárulására (mert például jogszabályi kötelezettség miatt kezelünk adatokat), ám tájékoztatási kötelezettségünk továbbra is van. Adatkezelési nyilatkozatok készítésére azonban még ezekben az esetekben is szükség lehet, hiszen a tájékoztatók tudomásulvételét igazolnunk kell. Tipikus példát jelentenek erre a munkatársi adatkezelések során készített nyilatkozatok, hiszen munkáltatói-munkavállalói kapcsolatban nem értelmezhető a hozzájárulás jogalapként, így nem is lehet szabályos az ezen jogalapon történő adatkezelés, ettől függetlenül adatkezelési nyilatkozatra ilyenkor is szükség van.

Online felületek adatkezelési szövegei

Az egyik leggyakoribb hiba, amely a GDPR megfelelés során elő szokott fordulni, az online felületeken megjelenő űrlapokon, bannereken, figyelmeztető felületeken feltöltött szövegek pontatlan megfogalmazása. Elég csak az űrlapok jelölőnégyzetei melletti szövegekre, vagy a sütikkel kapcsolatos tájékoztatók szövegeire gondolni. Szakértőink segítenek, hogy ezek is megfeleljenek a rendeletnek.

Használt szerződéssablonok adatvédelmi kiegészítése

A szerződéseknek – beleértve például a munkaszerződéseket, ügyfélszerződéseket és beszállítói szerződéseket – ki kell térnie az adatvédelem kérdéskörére is. Sajnos ez legtöbbször még az új szerződések megkötésekor is elmarad, a már korábban megkötött szerződések esetében az adatkezelők pedig nem is szoktak gondolni a felülvizsgálatra.

EU-n kívüli adattovábbítás vizsgálata

Az adatvédelmi rendelet külön kitér arra, hogy milyen esetekben lehet EU-n kívüli adatfeldolgozókat vagy közös adatkezelőket igénybe venni. Ez egy különösen kényes és erősen szabályozott terület, ami kifejezetten nagy kihívást jelent abból a szempontból, hogy a legtöbb népszerű, nagy technológiai cég – mint például a Google, Facebook, Apple, Amazon – nem európai adatközpontokba is továbbít adatokat.

Érdekmérlegelési tesztek és hatásvizsgálatok elkészítése

A GDPR világosan meghatározza, hogy milyen esetekben kell érdekmérlegelési teszteket, vagy hatásvizsgálatokat készíteni. Ezeket egy NAIH-vizsgálat során be kell tudni mutatni, ugyanis azok hitelességét és megfelelőségét a hatóság kiemelt figyelemmel vizsgálja.

Kameranyilvántartás, kameraszabályzat, betekintési jegyzőkönyv

Tapasztalataink szerint a kamerákkal kapcsolatos adatkezelések szabálytalanságaira kifejezetten nagy figyelmet fordít a hatóság – jelentős mennyiségű és mértékű bírságokat szabtak ki a területet érintő szabálytalanságok miatt. A tájékoztató és a szabályzatok kidolgozása mellett szükséges a kamerák használatának nyilvántartása, a rögzített adatokhoz való hozzáférés nyomon követése és ennek dokumentálása, a felvételek tárolásának szabályozása.

Adatvédelmi incidensek nyilvántartása

Az adatvédelmi incidensek minden vállalkozás esetén előfordulhatnak. Ilyen lehet például egy adatvesztés vagy egy adatszivárgás is. Fontos, hogy az incidenseket nyilván kell tartani, hiszen ezt a nyilvántartást is ellenőrzik.

Adatfeldolgozók nyilvántartása

Ha az adatkezelés során igénybe veszünk adatfeldolgozókat, akkor az ő adatvédelmi megfelelőségükért is mi vállaljuk a kockázatot: ha az adatfeldolgozónál olyan incidens történik, ami az adatkezelő által átadott személyes adatokat is érinti, a büntetés az adatkezelőtazaz az Ön vállalkozását terheli. Éppen ezért fontos, hogy tudjuk, kik az adatfeldolgozók, milyen garanciákat adnak a megfelelő adatbiztonság kialakítására. Olyan a legritkább esetben fordul elő, hogy egy vállalkozás nem vesz igénybe adatfeldolgozót, hiszen már egy számlázóprogram vagy közösségimédia-platform használatával is ez történik.

Érintetti megkeresések, adatkezelési joggyakorlatok, adatkikérések, hatósági megkeresések nyilvántartása

Ha bármelyik ügyfél, kolléga, vagy más érintett a céghez fordul adatvédelmi kérdésben (például kéri, hogy töröljük az adatait, tiltakozik az adatkezelés ellen, kikéri a vállalkozás által kezelt adatait), azt megfelelően dokumentálni kell, nyilvántartást kell róla vezetni. Ennek a nyilvántartásnak a kialakításában is segítenek szakértőink.

Közös Adatkezelési Megállapodások

Amennyiben több fél részt vesz az adatkezelésben, úgy kötelező a közös adatkezelési megállapodások kidolgozása és ellenőrzése, a közös adatkezelést hivatalos szerződésbe kell foglalni, a kapcsolódó adatkezelési tájékoztatókat és nyilatkozatokat pedig ennek megfelelően kell módosítani.

Weboldalas adatkezeléshez szükséges süti (cookie) tájékoztató

Nagyon gyakori hiba, hogy a weboldalakon olyan sütik vagy követőkódok futnak le, amelyeknek csak a látogató kifejezett hozzájárulását követően lenne szabad méréseket végezniük. Természetesen van, hogy más jogalap szerint történik adatkezelés, azonban a tájékoztatási kötelezettség ilyenkor is kötelező. Szakértőink segítenek ellenőrizni, hogy megfelelő-e a weboldalak sütikezelése, és a tájékoztató tartalmaz-e minden olyan formai és tartalmi elemet, ami szükséges a GDPR megfelelőséghez.

A Crosssec Solutions szakértő csapata minden olyan területen támogatást nyújt ügyfeleinek, amely az adatvédelem és az adatkezelés különböző aspektusait érinti. Személyre szabott tanácsadásunk célja, hogy ügyfeleink ne egy sablonos, konzerv megoldást kapjanak, hanem saját folyamataiknak megfelelően, teljeskörűen gondoskodni tudjanak a GDPR megfelelőségről és magabiztosan kezeljék az adatvédelemmel kapcsolatos kihívásokat.

Amennyiben Ön is szeretné vállalkozását GDPR-kompatibilissé tenni, valamint biztosítani az adatvédelem teljes körű védelmét, keresse fel szakértőinket!

Szolgáltatásunk már egyéni és mikrovállalkozói cégmérettől is elérhető, de természetesen több száz kis-közepes és nagyvállalati projekt elvégzésével szerzett tapasztalatunk alapján minden vállalkozás számára tudunk hatékony segítséget nyújtani.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram