11 pontos GDPR csekklista
Mi az a GDPR?
Lehet, hogy hallottál már a GDPR-ről, lehet, hogy még nem. De nem engedheted meg magadnak, hogy ne foglalkozz vele.
Az első, amit erről az irományról tudnod kell: ez nem jogi tanácsadás, mindössze egy iránymutatás, hogy merre indulj, hogy a weboldalad megfeleljen a GDPR-nek.
A GDPR az EU új adatvédelmi szabályozása, amely 2018. május 25-én lép hatályba, és még EU-n kívüli weboldalakat, vállalkozásokat is érint, ha EU területére értékesítenek terméket vagy szolgáltatást.
A GDPR rendelet, nem irányelv. Ez azt jelenti, hogy további országonkénti jogalkotás nélkül is kötelező érvényű.
A GDPR célja, hogy az uniós polgárok számára biztosítsa az EU a személyes adatainak ellenőrzését, és megváltoztassa a szervezetek világszerte alkalmazott megközelítését az adatvédelemre.
A GDPR jóval erősebb szabályokat nyújt, mint a meglévő törvények, és sokkal szigorúbb, mint az „EU cookie-törvény”.
Például a felhasználóknak meg kell erősíteniük, hogy adataik gyűjthetők, egyértelműen meg kell adni az adatvédelmi szabályokat, amelyek megmutatják, hogy milyen adatokat tárolnak, hogyan fogják használni, és megadják a felhasználónak a személyes adatokat (szükség esetén az adatok törlését).
A megszegése súlyos pénzbírságot jelent, amely elérheti a 20 millió eurót vagy az előző pénzügyi év teljes forgalmának 4%-át.
GDPR csekklista
1. Frissítsd az adatvédelmi tájékoztatódat
- tartalmazza a GDPR megfelelőséget
- részletesen add meg, milyen információkat gyűjtesz és tárolsz a weboldal látogatóiról (pl. IP címek, cookie-k, látogatás időtartama, nyomonkövetés, email, telefon, név, stb.)
- add meg, hol és hogyan kezeled a személyes adatokat (pl. számvitel, marketing, stb.)
- add meg, ki férhet hozzá a személyes adatokhoz (pl. mailchimp, google, értékesítő, futár, stb.)
- ha szükséges a cégednél adatvédelmi tisztségviselő, add meg az elérhetőségét
- add meg, milyen módon férhet az adatalany az adataihoz (kérnie kell, linken keresztül kezelheti)
- add meg, mennyi ideig kezeled a személyes adatokat
- felejtsd el a homályos kifejezéseket, mint pl. későbbi felhasználásra
2. Távolítsd el az összes pipát a checkboxokból
Minden jelölőnégyzetnek üresnek kell lennie.
3. Csak olyan adatot gyűjts, amire szükséged van a vállalkozás futtatásához.
Töröld a tárhelyeken, számítógépeden, hordozható adattárolókon (igen, az USB-n is), stb. tárolt személyes adatokat, amelyeket már nem használsz. Ez magában foglalja az e-maileket, amelyek személyes adatokat tartalmaznak.
Csak a személyes adatok egy változatát tartsd meg. A másolatokat csak biztonsági mentés és visszaállítás céljából tárolhatsz. Max. 4 mentés elfogadható. Ha többet tárolsz, indokoltnak kell lennie. A mentések helyét fel kell jegyezned az adatellenőrzésbe.
Az extra információk gyűjtése abban az esetben, ha a jövőben felhasználható, nem jogszerű. Törölni kell az olyan személyektől származó információkat, amelyeket nem használsz.
4. Minden adatszegésről 72 órán belül értesítést kell küldened.
Pl. adatkiszivárgás hackelés következtében, személyes adatok átadása harmadik személynek az érintett tudomása nélkül.
5. Legyen forgatókönyved az adatsérülési folyamatokhoz.
Legyen cselekvési terved, pl. honlap feltöréshez.
6. Adat-hozzáférési kérelmek
Mindig ellenőrizd a személyazonosságot. Győződj meg arról, hogy rendelkezésre állnak azok az adatok, ha nem a „nincs adatom” épp elég lesz. A feldolgozott kérést rögzítsd adatnaplóba. Ne tüntesd fel más emberek személyes adatait (Pl. webáruháznál eltérő szállítási nevet, címet). Add meg a választ 20 napon belül.
7. Elfelejtéshez való jog
Mindig ellenőrizd a személyazonosságot. Győződj meg arról, hogy rendelkezésre állnak azok az adatok, ha nem a „nincs adatom” épp elég lesz. Vedd ki a tárolt személyes adatokat. Távolítsd el az összes rendszerről, a biztonsági mentésekből is. A feldolgozott kérést rögzítsd adatnaplóba. Tedd meg 20 napon belül.
8. Személyes adatok feldolgozásának engedélyezése az e-kereskedelmi tranzakció után
Mindig ellenőrizd a személyazonosságot. Győződj meg arról, hogy rendelkezésre állnak azok az adatok, ha nem a „nincs adatom” épp elég lesz. Az adatbázisban jelöld, hogy nem használható fel marketing és egyéb adatfeldolgozásokban. Értesítsd az adatalanyt arról, hogy kérést megkaptad, adatait megjelölted, kizártad a további adatfeldolgozásból. Rögzítsd adatnaplóba.
9. Másolat kérése
Mindig ellenőrizd a személyazonosságot. Győződj meg arról, hogy rendelkezésre állnak azok az adatok, ha nem a „nincs adatom” épp elég lesz. Küldd el a személyes adatokat olvasható formátumban (csv, txt). Rögzítsd adatnaplóba.
10. Frissítsd a szerződéseidet.
Minden ügyfélszerződést GDPR záradékkal kell frissíteni.
11. Legyen adatszegésre vonatkozó terved.
Ha adatszegés történt, 72 órán belül be kell jelentened, nem csak értesíteni az érintetteket.
Vizsgáld meg a jogsértést és keresd meg a forrását.
Léptess életbe olyan intézkedéseket, amelyek megakadályozzák, hogy újra megtörténjen.
Tájékoztasd a jogsértés terjedelméről valamennyi érintettet
Értesítsd az adatkezelőt a jogsértésről, beleértve
– a jogsértés terjedelme
– az érintettek száma
– a jogsértés forrása
– a jogsértés megelőzésére és megállítására hozott intézkedések
– a jogsértés mértékétől és típusától függően a Data Commissioners hivatal megakadályozhatja az adatok feldolgozását addig, amíg nem vizsgálják ki a jogsértést.
Ez megakadályozhatja a kifizetések feldolgozását, a számlázást és az értékesítést. Még akkor is, ha nem szabnak ki bírságot, a vállalkozásodat megzavarja.
Muszáj?
Ez úgy tűnik, mint egy csomó extra munka?
Sok munka, de ne így fogd fel. Ez egy jó lehetőség egy adattisztításra. Egy alkalom az email adatbázisod rendbetételére.
Ez csak a nagy üzletekre vonatkozik, soha nem fognak ellenőrizni egy kisvállalkozást?
Az adatvédelmi biztosi hivatal nem ellenőriz most, de a jövőben bármikor. Ha adatszegés van, ezt be kell jelentened az adatbiztos irodájába. Ugyanúgy 72 órán belül kell, mint az érintettek értesítése. Ennek elmulasztása jogellenes.
Amit már nem tehetsz meg.
1. Nem küldhetsz kéretlen e-maileket senkinek. Nincs több megvásárolt lista vagy összeolvasztott lista.
2. Nem küldhetsz automatikus e-mailt az elhagyott bevásárlókosárról, amely kedvezményeket kínál.
3. Nem utasíthatod el az ügyfelek személyes adatai kérését.
4. Nem küldhetsz kéretlen szöveges üzenetet mobiltelefonon keresztül.
Összefoglalva
Célszerű, hogy egy személy legyen az vállalkozásodban, aki felelős az adatvédelemért.
Végezz egy adatellenőrzést. Rögzítsd a vállalkozásnál tárolt összes személyes adat helyét. Tarts egy folyamatosan frissített listát / rekordot ellenőrzés céljából. Ez a jövőben az adatkérések forrása lesz.
Adathalászási terv készítése (cselekvési terv honlap feltörés esetére).
Frissítsd politikáidat és szerződéseket a GDPR megfelelőségének figyelembevételével.
Rendelkezz egy olyan rendszerrel, amely feldolgozza az egyéni igényeket a vállalkozásodtól.