Felkészülés, teendők

Mit kell tenni a felkészülés során?

A GDPR-megfelelőség kialakítása egy több lépésből álló hosszabb folyamat, amely időt, eszközöket és szakértelmet igényel, és komoly változásokat hozhat a szervezeten belül.

Feltárás:

  • milyen adatkezelések történnek,
  • milyen célból, és
  • milyen személyes adatokat érintenek.

Vizsgálat:

  • az egyes adatkezelések kapcsán milyen kötelezettségeknek kell eleget tenni (hatókör meghatározása)

Felülvizsgálat:

  • a jelenlegi szerződések, adatkezelési szabályzatok tájékoztatók, informatikai rendszerek, szervezeti intézkedések, folyamatok stb. esetében milyen módosításokra van szükség a megfelelőség érdekében

Kezelés és védelem:

  • a személyes adatok használatának és elérésének szabályozása
  • szerződések, szabályzatok, tájékoztatók módosítása, illetve készítése,
  • biztonsági (informatikai, szervezeti stb.) ellenőrzések kialakítása a kockázatok és incidensek megelőzésére, észlelésére és kezelésére,
  • adatvédelmi-, információbiztonsági- és informatikai rendszerek átalakítása
  • a szükséges nyilvántartások vezetése, adatkérések végrehajtása, incidensek jelentése (intézkedési terv készítése)

Munkáltatóként milyen teendőim vannak?

Munkáltatóként (adatkezelőként) elsősorban az előző pontban írt teendőink vannak a munkaszerződések, munkajogi szabályzatok és az adatfeldolgozókkal (pl. fejvadász-, bérszámfejtő cég) kötött szerződéseink kapcsán.

Ezen túlmenően szükséges pl.:

  • mintaválaszokat kidolgozni az esetleges adat-, tájékoztatás kérések esetére,
  • a személyes adatok biztonságának, gyors elérhetőségének, kereshetőségének biztosítása informatikai eszközökkel,
  • adatvédelmi tréning a munkavállalók részére,
  • adatvédelmi nyilvántartás kidolgozása és vezetése.

Mi történik, ha – bármely okból – nem készülünk fel 2018. május 25-ig?

A rendelet 2018. május 25-én hatályba lép, nincs semmilyen „türelmi idő”, addig tehát fel kell készülni annak alkalmazására.

Nyilvánvalóan lesznek az első időkben értelmezési, gyakorlati kérdések, de arra nem lehet hivatkozni, hogy nem sikerült felkészülni.

A rendelet a bírságolás kapcsán nem tartalmazza azt a lehetőséget, hogy kkv-k esetében első ízben csupán figyelmeztetésre kerül sor, a kkv-k is bírsággal sújthatóak már az első alkalommal is.