cvonline.hu
gdpr-alkalmazas-es-gyakorlat_440x200
A május 25-től érvényes új uniós adatvédelmi rendelet bevezetéséig már csak hetek vannak hátra. Cikksorozatunk eddigi részeiben leírtuk, mik a legfontosabb alapfogalmak és lépesenként végig vettük a szabályozás fontosabb pontjait, új elemeit. Ebben a cikkben most egy útmutatót szeretnénk röviden adni a GDPR kapcsán alkalmazandó gyakorlati szempontokról.

Legyünk tisztában a célokkal

Fontos megértenünk, hogy az új, egységesített szabályozás fő célja, hogy tisztában legyünk, mikor, miért és mire használjuk az általunk kezelt vagy felhasznált adatokat. Mindig tegyük azt egy pontosan meghatározott célból. Mivel a személyes adatok köre jócskán bővült digitalizálódó világunkban, és az adatok tárolásának módja is sokat változott, fontos, hogy tisztában legyünk a saját eljárásainkkal, adattárolási metódusunkkal. Ennek szab keretet a GDPR. A célok mentén pedig a következő szempontokat érdemes végiggondolnunk: egyértelmű és jogszerű –e az adatkezelésünk? Miért és mire akarjuk használni ezeket az adatokat. Tudnunk kell meghatározni minden esetben az okokat, akár külön-külön is. Csak a feltétlenül szükséges és releváns adatokat kezeljük. Ennek két fő aspektusa az adattakarékosság, valamint adatminimalizálás. Szintén fontos betartani, hogy az adatokat az eredeti céltól eltérő célból nem lehet felhasználni, tárolni. A legfontosabb pedig, hogy minden esetben az adatszolgáltatót, azaz magát az érintettet világosan és egyértelműen tájékoztatnunk kell előzetesen, hiszen az adatkezelésünk jogalapja az érintett hozzájárulása. Ennek pedig önkéntesnek és egyértelműnek kell lennie. Ennek a tájékoztatásnak pedig tömör, átlátható, érthető és könnyen hozzáférhető formában kell történnie. Megfogalmazva az adatkezelő nevét, elérhetőségeit, ha van, akkor az adatvédelmi tisztviselő elérhetőségeit, az adatkezelés célját, jogalapját, valamint érdekmérlegelésen alapuló jogalap esetén a jogos érdekek megnevezését. Adattovábbítás esetén a személyes adatok címzettjeit, azok kategóriáit és garanciákat. A tájékoztatásnak az adatfelvételt megelőzően legfeljebb egy hónapon belül meg kell történnie. Vannak esetek, amikor a tájékoztatás lehet mellőzhető, ilyenek, ha az érintett személy már rendelkezik az információkkal, vagy ha nem az érintettől származnak az adatok és a tájékoztatás megtétele lehetetlennek bizonyul vagy jogszabály által elrendelt maga az adatkezelés.

A profilalkotás és annak adatvédelmi szabályai

A profilalkotásra manapság már iparágak épültek, fontos, hogy a május 25-től alkalmazandó adatvédelmi rendelet külön kitér arra, milyen módon használhatja fel bárki a természetes személyek adatait e körben. A profilalkotás témája rengeteg kérdést vet fel. A profilalkotás a személyes adatok automatizált kezelésének formája, mely során az adatokat valamilyen személyes adatok értékelésére használjuk. Ezt még kiegészíthetjük azzal, hogy a GDPR szerint a profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. Ezzel kapcsolatban pedig a legfontosabb, hogy minden érintett jogosult arra, hogy ne terjedjen ki rá a profilalkotás vagy bármi más automatizált adatkezelésen alapuló döntés hatálya. Profilalkotás esetében pedig a GDPR értelmében minden alkalmazó köteles adatvédelmi hatásvizsgálatot elrendelni.

Még egyezer a teendőkről

Íme, pontokba szedve és tőmondatokban a legfontosabbak:

1. A jelenleg kezelt adatvagyon felmérése
• adatok körének és típusainak meghatározása,
• adatok forrásának azonosítása,
• adatkezelés jogalapjának meghatározása,
• valóban rendelkezünk-e az érintettek hozzájárulásával,
• adatkezelés időtartamának meghatározása,
• az adatkezelés módjának meghatározása.

2. Adattakarékosság és célhoz kötöttség
• a szempont vizsgálata, minden adatcsoport esetében,
• annak vizsgálata, hogy valóban minden adat szükséges-e az adott cél eléréséhez, és ha van fölösleges, akkor azt törölni kell.

3. Adatpontosság
• ennek állapotfelmérése a kezelt adatok vonatkozásában,
• pontosságot biztosító intézkedések meghatározása,
• hozzáférési szintek meghatározása.

4. Kockázatelemzés
• módszertan és folyamatok kialakítása és elkészítése.

5. Incidenskezelés folyamatának kidolgozása

6. Adattovábbítás
• a jellemző adattovábbítások meghatározása,
• minden ilyen esetben a jogosultság vagy felhatalmazás meghatározása,
• gyakorlat kialakítása a regisztrálás céljából.

7. Adatvédelmi hatásvizsgálat
• profilalkotás esetén kötelező.

8. Nyilvántartások készítése az adatkezelési tevékenységről

9. Szerződéses állomány
• ÁSZF-ek felülvizsgálata adatvédelmi szempontból,
• adatfeldolgozókkal kötött szerződések felülvizsgálata, garanciák vizsgálata, kötelező tartalmi elemek beépítése a szerződésbe.

10. Adatvédelmi tudatosság
• Munkatársak belső képzésének megszervezése, a szabályzatok betartásának hangsúlyozása.

Bízunk benne, hogy GDPR cikksorozatunkkal tudtunk segíteni minden partnerünknek, olvasónak, hogy felkészülten és tudatosan várja a hamarosan hatályba lépő új rendeletet. Igyekeztünk megértetni, hogy ennek a rendeletnek nem az elrettentés vagy büntetések kiszabása, hanem az adatkezelésünkkel kapcsolatos gondolkodásunk megváltoztatása a fő célja, amivel folyamatainkat tudjuk optimalizálni és korszerűsíteni.

Hunyor Péter
Senior HR Tanácsadó

Álláshirdetés feladás, önéletrajz adatbázis hozzáférés, álláskeresők előszűrése vagy egyéb munkaadóknak, hirdetőknek szóló szolgáltatások kapcsán keresse a Cvonline.hu professzionális csapatát bizalommal, a következő elérhetőségek valamelyikén:
Russmedia Digital Kft.
H-1138 Budapest, Madarász Viktor utca 47-49.
Telefonszám: (+36 1) 5100-800
Fax: (+36 1) 302-1736 vagy (+36 46) 887-350
E-mail: info@cvonline.hu