Bő negyedévük maradt a cégeknek arra, hogy felkészüljenek az Európai Unió Általános Adatvédelmi Rendelete, a GDPR jelentette kihívásokra. Blogunkon cikksorozatot indítunk, hogy segítsünk a teendők áttekintésében. Első cikkünk a tervezési fázishoz ad néhány támpontot.
A GDPR talán legfontosabb koncepcionális újítása a „beépített és alapértelmezett adatvédelem” és az elszámoltathatóság elve. Ez azt jelenti, hogy az adatkezelő gyakorlata nem merülhet ki abban, hogy formálisan megfelel a GDPR-nek, mert a teljes működését olyan módon kell kialakítania, hogy az adatvédelmi szempontokat az egyes folyamatok megtervezésekor figyelembe veszi, és azokat beépíti. Tehát nem lehet „letudni” az adatvédelmi megfelelőséget egy versenytárstól lemásolt adatvédelmi tájékoztató közzétételével, hanem a cégeknek bármikor tudniuk kell a gyakorlatban is igazolniuk, hogy a papíron leírtak a gyakorlatban is megvalósulnak. Ezért a GDPR-re való felkészülést az üzleti folyamatok áttekintésével kell kezdeni.
Térképezzük fel a cégen belüli adatmozgásokat!
Az előkészítő munka legjelentősebb része, hogy az adatkezelőnek fel kell térképeznie, mely üzleti folyamatok során milyen típusú személyes adatokat kezel. Ez azért is fontos, mert a GDPR az adatkezelő számára előírja, hogy folyamatosan vezessen nyilvántartást az általa kezelt adatok, az érintettek, valamint a címzettek köréről, az adatkezelés céljáról, jogalapjáról, illetve arról, milyen jogi, technikai és szervezeti garanciák biztosítják az adatok védelmét. Ez a nyilvántartási kötelezettség a 250 főnél kisebb létszámú szervezetekre ugyan csak abban az esetben vonatkozik, ha az adatkezelés „valószínűsíthetően kockázattal jár”, nem alkalmi jellegű, vagy különleges adatokra vonatkozik, ám a magyar adatvédelmi hatóságnál (NAIH) eddig is valamennyi adatkezelést nyilvántartásba kellett venni, és egyelőre nincs napirenden, hogy a GDPR alkalmazásával ez a kötelezettség megszűnne.
Azonosítsuk be a személyes adatok körét!
Az adatmozgások feltérképezése nem lehetséges annak tisztázása nélkül, hogy mi minősül személyes adatnak. A GDPR tág meghatározása szerint ez „az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ”. Minthogy a „bármely információ” meghatározásba nemcsak a lábméret, a vércsoport vagy a mobil-híváslista tartozik bele, de olyan szubjektív információk is, mint az érintett fizetőképessége, egészségügyi vagy fogyasztási szokásai, így a kulcskérdés tehát, hogy mit jelent az azonosíthatóság. E körben a GDPR egy észszerűségi mércét támaszt: ha a meghatározott személlyel való azonosítás különösebb költségek és időráfordítás nélkül, a rendelkezésre álló technológiák által objektíve lehetséges, akkor az ilyen információ személyes adatnak minősül.
A következő lépésben meg kell határozni, hogy a kezelt személyes adatok között vannak-e különleges adatok, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. A megkülönböztetés indoka, hogy a GDPR a különleges adatokat kezelőkre további szigorú kötelezettségeket ró, pl. kötelesek adatvédelmi tisztviselőt kijelölni és előzetes hatásvizsgálatot lefolytatni, amelyekről később még lesz szó.
Írjuk össze, honnan származnak az adatok!
Ezt követően érdemes összeírni, hogy honnan származnak az adatok: azokat az érintettek maguk adják meg, vagy automatikusan gyűjtött adatokról van szó, esetleg harmadik személyektől (pl. adatbázisból) származnak. Ez azért fontos, mert minden adatkezelésnél külön-külön meg kell vizsgálni, hogy mi az adatkezelés jogalapja. A GDPR a hatályos szabályozáshoz képest némileg bővíti a jogalapok körét: az érintett hozzájárulásán, a jogszabályon alapuló adatkezelésen, az adatkezelő jogi kötelezettségeinek teljesítéséhez, vagy az adatkezelő ill. harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelésen kívül lehetővé teszi a szerződés teljesítéséhez szükséges, az érintett vagy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges, valamint a (vállalkozások esetében kevésbé releváns) közhatalmi jogosítvány gyakorlásának keretében végzett adatkezelést is.
A jogalap tisztázása azért is lényeges, mert az érintett bármikor tájékoztatást kérhet arról, hogy milyen alapon kezelik az adatait; ha pedig az adatai törlését kéri, akkor az adatkezelőnek a kérés jogszerűségét rövid időn belül el kell tudni dönteni, ehhez pedig elengedhetetlen tudnia, hogy a kérdéses személyes adatot az érintett hozzájárulása alapján vagy más jogalap szerint kezelik.
Gondoljuk végig, szükséges-e a kérdéses adatot kezelni!
Ha már meghatároztuk, hogy kik, milyen és honnan származó adatokat kezelnek, akkor végig kell gondolni, hogy az egyes adatkezelési pontokon valóban szükséges-e azoknak és annyi adatnak a kezelése. A GDPR által bevezetett egyik új elv az adattakarékosság, és ennek szellemében ahol az üzleti cél és folyamat nem feltétlenül követeli meg az adott személyes adat kezelését, ott el kell hagyni az adott adat gyűjtését, tárolását. Ennek az elvnek egy másik aspektusa a célhoz kötöttség, amelynek a hatályos magyar szabályozásban is kiemelt szerepe van. Ha megszűnik az adatok kezelésének célja, akkor azokat törölni kell: ha egy étterem a foglalás rögzítéséhez felveszi a vendég nevét, akkor annak a vendéglátást követően már semmi nem indokolja a tárolását; hasonlóképpen, ha egy cég meghirdet egy állást, akkor a jelentkezők önéletrajzát – hozzájárulásuk híján – a kiválasztási folyamat lezárulását követően már nem tárolhatja jogszerűen.
Az adattakarékosság egy másik vetülete a jogosultsági szintek meghatározása, azaz annak biztosítása, hogy egy szervezeten belül mindenki csak olyan személyes adatokhoz férjen hozzá, amelyek a munkájának végzéséhez feltétlenül szükségesek. Azt is érdemes megvizsgálni, hogy mely adatok gyűjtését, tárolását, kezelését lehet megoldani álnevesítéssel, anonimizálással, titkosítással vagy egyéb olyan technikai intézkedéssel, amely biztosítja, hogy az adat és az érintett közötti kapcsolat ne legyen helyreállítható.
A felkészülésnek már ebbe a szakaszába érdemes bevonni a cég informatikai partnerét. Ha kíváncsi arra, hogy milyen informatikai megoldások segíthetik Önt ebben a folyamatban, akkor regisztráljon itt és jöjjön el 2018. február 13-án (kedden) üzleti reggelinkre, amelyet irodánk IT partnerével, az N-Ware Kft-vel közösen tart.