Az EU Általános Adatvédelmi Rendeletének (GDPR) egyik újdonsága az elszámoltathatóság elve. Ez egyfajta fordított bizonyítási kényszert jelent. Lényegében nem a hatóságnak kell bebizonyítania, hogy nem felelünk meg az adatvédelmi szabályoknak, hanem nekünk kell bizonyítanunk a megfelelést.
Mit jelent ez konkrétan?
Megvizsgáltuk, hogy kötelesek vagyunk-e kinevezni adatvédelmi tisztviselőt. Amennyiben igen, kineveztük, megfelelő szakmai tudással rendelkezik, független, nem utasítható, a szükséges erőforrásokkal rendelkezik stb. Amennyiben nem, dokumentáltuk, hogy milyen indokok alapján döntöttünk így.
Végigvettük az üzleti folyamatokat, megnéztük, hogy hol kezelünk személyes adatokat. Minden folyamatra vonatkozóan kitöltöttük az adatregisztert.
Minden folyamatban tudjuk, hogy adatkezelők vagy adatfeldolgozók vagyunk-e.
Az EU-n kívülre történő adattovábbítás esetén megfelelő mechanizmussal rendelkezünk.
Megnéztük, hogy melyek a magas kockázatú adatkezeléseink. Ezekre elkészítettük az adatvédelmi hatásvizsgálatot.
Valamennyi adatkezelésünket megfelelő jogalappal végezzük. A jogszabályi jogalap esetében tudjuk melyik konkrét jogszabály teszi azt lehetővé, jogos érdek esetén elkészítettük az érdekmérlegelési tesztet, hozzájárulás esetén tudjuk bizonyítani az önkéntes, tájékoztatáson alapuló hozzájárulást.
A munkavállalókat megfelelő adatvédelmi képzésben részesítettük, gondoskodtunk a tudásuk naprakészen tartásáról. Mindezt dokumentáltan.
Átnéztük a meglévő adatvédelmi szabályzatainkat, hogy azok megfelelnek-e az új szabályoknak.
Felülvizsgáltuk a szerződéseket, hogy azok megfelelően rendezik-e a személyes adatok kezelését.
Ellenőriztük, hogy az általunk használt szoftverek, igénybe vett szolgáltatások (pl. felhőszolgáltatások) a GDPR rendelkezéseinek megfelelően (privay by design) működnek-e.
A weboldalunk, a direkt marketing gyakorlatunk, a kamerával történő megfigyelésünk megfelel a rendeletnek.
Az adatvédelmi tájékoztatónk a kötelező információkat tartalmazzák.
Megfelelő technikai, biztonsági feltételeket biztosítottunk az adatok védelme érdekében, így például a személyes adatokhoz való hozzáférés a „business need to know” elv alapján történik.
Az adatvédelmi incidensek esetére kialakított eljárásrenddel rendelkezünk.
Az érintettek jogainak gyakorlása előre meghatározott mederben folyik.
A fentiek a leggyakrabban előforduló feladatok, de a vállalkozás természetétől függően számos más kérdésre is tudnunk kell válaszolnunk egy hatósági ellenőrzés kapcsán.