1. Adatvagyon és elsősorban személyes adatok kezdeti felmérése:
Az adatok felsorolása területenként vagy érintetti csoportonként, célok, esetleg jogalapok megjelölésével.
Megvizsgálni, hogy van-e különösen érzékeny adat?
Történik EU-n kívülre való továbbítás?
2. Dokumentáció elkészítése
Kötelezők: Adatvagyon-nyilvántartás (táblázat), Tájékoztatók (érintetti csoportonként, adatcsoportonként, Hozzájárulási nyilatkozat minták, Adatvesztés incidens protokoll
Ajánlottak: IT – és Adatvédelmi szabályzatok
3. Adattisztítás elvégzése
Ha lenne olyan adat, amihez nem találtunk jogalapot, pláne ha nem tiszta a beszerzési forrás úgy ezeket törölni/elérhetetlenné kell tenni.
4. Jogalapok beszerzése
Tájékoztatók elhelyezése weboldalon, aláíratásuk az érintettekkel, Hozzájárulások beszerzése.
5. Szolgáltatókkal kötött szerződések felülvizsgálata
(Tegyük fel a kérdés – kezel a szolgáltató személyes adatokat? Ha igen, akkor…)
Vizsgáljuk meg, hogy mennyire GDPR kompatibilis az adott szolgáltató szolgáltatás, adatkezelése és az ezt alátámasztó dokumentáció.
6. Vizsgáljuk meg, hogy kell-e adatvédelmi hatásvizsgálat (Data Privacy Impact Assessment)
Mikor van rá szükség?
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve; különösen indokolt az alábbi esetekben:
- automatizált adatkezelés, profilalkotás
- személyes adatok különleges kategóriáinak, bűnügyi személyes adatoknak a kezelése
- nyilvános helyek nagymértékű, módszeres megfigyelése
- biztosító által támasztott követelmények esetén.
Ha szükséges, akkor állítsunk/állíttassunk össze egy ilyen dokumentumot.
7. Adatvédelmi tisztviselő alkalmazása
Vizsgáljuk meg, hogy vonatkozik-e vállalkozásunkra/szervezetünkre Adatvédelmi Tisztviselő (Data Privacy Officer) alkalmazásának kötelezettsége.
Kinek kell foglalkoztatni DPO-t?
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve a bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a különleges személyes adatok, illetve bűnügyi személyes adatok nagy számban történő kezelését foglalják magukban.
Ha szükséges, akkor keressünk, képezzünk!
8. Adattárolás megvizsgálása
Tényleges tárolás: Pl. számítógépen, felhőben, papíron
Adatbiztonságnak való megfelelés: beleértve vírusirtó, tűzfal illetve e-kulcsok és fizikai kulcsok; hozzáférések cégen belül az adatokhoz stb.
9. Belső oktatás és felkészülés
Kollégák tájékoztatása az adatkezelés alapjairól, ügyfél jogokról illetve azok tényleges gyakorlásának lehetőségéről, adatszivárgás esetén követendő tényleges lépésekről stb.
10. Személyes adatok terjedelmének felmérése (véglegesítés)
Még egy ellenőrzés, azaz, hogy minden olyan adat, ami már nem kell, vagy egy adat-csomag része már fölösleges, hatályát vesztette azt töröljük!
Fennmaradó adatokat precízen összeállítani: mikortól, milyen adatot kezelünk, ki fér hozzá, mi az adatkezelés célja, jogalapja, mi az időtartama és az ehhez kapcsolódó incidensek felsorolása.
11. Technikai megoldások alkalmazása
Ha van rá lehetőség alkalmazzunk adat-anonimizálást és/vagy titkosítást! (Kockázat csökkentés és GDPR hatálya alól is kikerülhetünk.)