18 október 2017

Ön készen áll a GDPR-ra?

blog_header_lijm-cultuur_software_03.jpg

Sok szervezet számára nagy jelentőséggel bír az Európai Unió új adatvédelmi rendelete, a GDPR. 2018. május 25-től ez a rendelet érvénybe lép az egész Európai Unió területén, és a szervezeteknek is meg kell felelniük az új szabályozásoknak. Az ön szervezete készen áll? Mi a következő hat tippel szeretnénk segíteni a kezdeti nehézségek leküzdésében.

Ha a TOPdesket vagy hasonló ITSM-alkalmazást használ, akkor mások adatait tartja nyilván. Ez esetben pedig az EU Általános Adatvédelmi Rendelete (GDPR) az ön szervezetére is vonatkozik. Az EU minden tagállama beépíti a rendeletet saját jogszabályozásába.

1. Adatfeldolgozási folyamataink feltérképezése

Az új rendelet értelmében rögzíteni kell, hogy a szervezet milyen típusú személyes adatokkal foglalkozik, azokat milyen céllal, kivel osztja meg és a megosztást miként tervezi a rendeletnek megfelelően elvégezni. Bizonyos esetekben a magánélet védelmére gyakorolt hatásokat is ki kell vizsgálni.

2. Adatfelhasználási engedély

Gyakran szoftveres támogatással segítünk munkatársainknak és az ügyfeleinknek. Személyes adataik tárolására vonatkozó engedély kérése nem minden esetben szükséges. Például nem kell engedély, ha csak azokat az adatokat osztják meg, amelyek feltétlenül szükségesek a megállapodás betartásához. Más esetekben viszont engedélyt kell kérnünk. Mindenképpen mérje fel, hogy a helyi jogszabályok értelmében az ön szervezetére mely szabályozások vonatkoznak!

3. Hozzáférésre, korrekcióra és/vagy törlésre vonatkozó jogok

Önnek, mint nyilvántartó félnek, átláthatóan kell felvennie a személyes adatokat. Az érintett személyek megkérhetik önt, hogy javítson ki helytelen adatokat, vagy akár törölje ki őket. Legyünk felkészülve és az ügyféltámogatási részleget is tartsuk naprakészen az efféle kérések kezelése terén.

4. A (felhőszolgáltatásokkal foglalkozó) beszállítókkal kötött adatfeldolgozási szerződések

Önöknél felhő alapú (SaaS) szoftverrel dolgozzák fel a személyes adatokat? Ebben az esetben adatkezelőként ügyelni kell arra, hogy adatkezelői/adatfeldolgozási szerződést (két név egyazon dokumentumra) kössünk a beszállítónkkal, az úgynevezett adatfeldolgozóval. Ebben a dokumentumban egyértelműen lefektethetjük, hogy ki milyen szerepet játszik a személyes adatok feldolgozásában. Például szabályozhatjuk a bizalmas információk kezelését vagy azt, hogy mi a teendő adatszivárgás esetén.

A szerződések tartalma nagyban függ az elvégzett szolgáltatástól. Ezért is érdemes megkérdezni a beszállítót, hogy van-e szerződéstervezete. Ez egy jó lehetőség a beszállító felkészültségének kivizsgálására.

5. Biztonsági incidensekkel kapcsolatos eljárások kidolgozása

Könnyen elkerülhetjük a feszültséget okozó helyzeteket, ha előre eltervezzük, mit a teendő valamilyen biztonsági kockázat fellépése esetén. Bizonyos esetekben az adatkezelőnek 72 órán belül jelentenie kell az adatbiztonság sérülését az adott ország adatvédelmi hatóságnál. Azokat is értesítenie kell, akiknek az adatai sérültek. Éppen ezért fontos, hogy az ilyen biztonsági incidensekre legyen egy folyamatsablonunk, egy workflow-nk. A workflow segítségével a megfelelő munkatárs dönthet arról, hogy mi legyen a következő lépés.

6. Adatvédelmi biztos kinevezése

2018-ban bizonyos szervezeteknek ki kell nevezniük adatvédelmi biztost a különleges helyzetek kezelésére. A legtöbb szervezet számára azonban ez nem lesz kötelező. Mindazonáltal érdemes alkalmazni egy szakértőt, aki jártas ezekben az ügyekben. A szakértő figyelemmel kísérheti az adatvédelemmel foglalkozó kormányzati honlapokat, és webináriumokon is részt vehet. Így könnyedén elkerülhetők azok a hibák, amelyek a szervezet jó hírének csorbulásához vagy komoly büntetések kifizetéséhez vezethetnek.

Ezen az oldalon további, angol nyelvű információt olvashat arról, hogy mi hogyan látjuk a GDPR-t.

Comments