Napjainkban szinte minden vállalkozás alkalmaz valamilyen informatikai megoldást az adatai tárolására, továbbítására. Elegendő csak az e-mailekre, céges bemutatkozó weboldalakra vagy számlázó programokra gondolni. Szerencsés esetben a vállalkozás jól prosperál és eljön a pillanat, amikor olyan saját igények merülnek fel, melyeket az aktuálisan használt rendszerek már nem tudnak kiszolgálni.
Ilyenkor választhatunk egy kész megoldást, ami megfelel az igényeiknek, legyen az „dobozos” szoftver, vagy valamilyen felhő alapú (pl.: SaaS) megoldás. A másik lehetőségünk, hogy keresünk egy fejlesztőt és megrendelünk egy saját alkalmazást.
Bármi legyen is a végső döntés, mindenképp jusson eszünkbe az adatvédelem megkerülhetetlen alapelve az elszámoltathatóság ( GDPR II. fejezet, 5. cikk (2) bekezdés ). Az elszámoltathatóság alapelve szerint az adatkezelő, esetünkben a vállalkozásunk a felelős az adatkezelés teljes folyamatának jogszerűségéért, ezért mindenképp alaposan vizsgáljuk meg, hogy leendő befektetésünk teljesíti-e a GDPR megfelelőség kritériumait.
Az alábbi rövid ellenőrzőlista segít eldönteni, hogy érdemes-e egyedül belevágnunk a dologba, vagy inkább kérjük egy szakértő segítségét.
- Tudjuk mi a személyes adat?
- Ismerjük alábbi fogalmakat, folyamatokat (a lista nem teljes)?
- személyes adat
- adatfeldolgozó
- adatkezelés
- adattovábbítás
- anonimizálás
- érintett
- harmadik személy
- harmadik ország
- hatásvizsgálat
- incidens
- különleges adat
- GDPR
- Tudjuk mik az érintetti jogok?
- Tudjuk mik az adatkezelő kötelezettségei?
- Ismerjük az adatvédelemmel kapcsolatos hatályos jogszabályokat?
- Tudjuk milyen jogszabályok vonatkoznak a vállalkozásunkra?
- Tudjuk milyen személyes adatokat kezelünk a vállalkozásunkon belül?
- Tudjuk a vállalkozásunk által kezelt személyes adatok felvételének a módját?
- Minden személyes adatra vonatkozóan tudjuk az adatkezelés célját, jogalapját és időtartamát?
- Biztosítjuk az érintettek számára az érintetti jogok gyakorlását?
- Továbbítunk harmadik fél számára személyes adatot?
- Pontosan tudjuk, hogy az általunk kezelt személyes adatokat ki, mikor, miért és milyen módon ismerheti meg?
Ha a fenti listán szereplő kérdéseket megválaszolva van nemleges válasz, akkor erősen javasolt egy adatvédelmi szakértő bevonása és egy adatvédelmi audit, hogy egy későbbi NAIH ellenőrzés során elkerüljük a bírságot. Nem mellékes szempont, mivel a jelenlegi szabályozás szerint a bírság felső összege 20 000 000 – nem elírás, valóban húszmillió – euró.
A kész megoldások általában részletes tájékoztatást adnak a GDPR megfelelőséggel kapcsolatban, de ebben az esetben is körültekintően utána kell járnunk, hogy a vállalkozásra vonatkozó speciális jogi szabályozásnak (pl egészségügyi adatok kezelése) is eleget tesznek-e.
Egyedi igények szerint készülő szoftver esetében nekünk kell egyeztetnünk a fejlesztővel a rendszeren belüli folyamatokról, az ezek során érintett adatokról és azok kezeléséről. Ideális esetben a fejlesztőcsapat profin ért a BPM-hez ( Business Process Management ) és az adatvédelemhez is egyszerre. Ebben az esetben csak hátradőlünk és várjuk a kész terméket. Ha viszont a fejlesztők nem rendelkeznek adatvédelmi szakértővel, akkor mi magunk is megbízhatunk egyet, hogy a fejlesztés során a fejlesztőkkel együttműködve egy üzleti és adatvédelmi szempontból egyaránt megfelelő rendszert alkossanak számunkra.