Előző cikkünkben arról írtunk, hogy miért és miként érdemes strukturálnunk adatkezeléseinket. Most kifejtjük, mi az Irodánk által javasolt következő lépés.
Miután tisztába kerültünk adatkezeléseinkkel és rendszerbe foglaltuk azokat, következő lépésként dokumentálnunk kell, hogy az adott adatkezelések alkalmával, mely személyes adatok kezelése történik, valamint fel kell térképeznünk az adatok áramlásának útját az adat begyűjtésétől kezdve az adat megosztásán keresztül, azok megsemmisítéséig. Különös figyelmet kell erre szentelnünk, ha sokféle adatot osztunk meg harmadik féllel akár rendszerek integrációja, vagy akár egyszerűen csak e-mail útján.
Ahhoz, hogy ezt könnyedén meg tudjuk tenni, érdemes felmérnünk a személyes adatra vonatkozó adatvagyonunkat. Ez nem csupán a GDPR-nak való megfelelésben nyújt segítséget, hanem tisztában leszünk azzal is, hogy melyek azok az adatok, melyeket különösképp védenünk kell információbiztonság szempontjából is.
Fontos kiemelni, hogy adatvagyonunk és adatkezeléseink megfelelő felmérése és rendszerezése biztosít stabil alapot az adatkezelési dokumentációnak.
Vállalatunk méretétől, profiljától függ, hogy milyen személyes adatokat kezelünk. Ha ezeket számba vesszük, és rájövünk, hogy rengeteg féle adatot kezelünk, el kell gondolkodunk azon, hogy vajon a dokumentációnkban mindent explicit módon fel kellene -e sorolnunk. Valljuk be, hogy ez sok esetben teljesíthetetlen és felesleges. Egyrészt mert nem praktikus a felhasználó (Érintett) számára, másrészt pedig az anyagok karbantartása is nehézkes lenne a jövőben.
Javasoljuk tehát egy olyan struktúra kialakítását, mely tartalmazza a személyes adatok főbb kategóriáit és az azok alá tartozó adatelemeket. Ezalatt azt értjük, hogy csoportosítsuk a hasonló, logikusan összetartozó adatokat, és helyezzük őket egy nagyobb kategória alá. Például legyen a név mint kategória, az alá tartozó adatelemek pedig: családnév, utónév, megszólítás, leánykori név.
Fontos külön kategóriába sorolni a szenzitív adatokat (felekezeti hovatartozás, politikai, illetve világnézet, szakszervezeti tagság, biometrikus adatok, egészségügyi adatok stb), vagy jelölni ezt az adatstruktúránkban.
Ha rendelkezünk ezzel a rendszerezéssel, akkor adatvédelmi dokumentációnkban elegendő a főbb adatkategóriákat felsorolni, és nem szükséges minden egyes adatot belefoglalnunk akár az adatvédelmi tájékoztatóban, vagy a belső adatkezelési nyilvántartásban.
Természetesen ennél a tevékenységnél figyelembe kell venni az adatok típusának sokrétűségét. Ha cégünk profiljából, méretéből adódóan kevés személyes adatot kezelünk, erre a struktúrára nincs szükség. Amennyiben viszont vállalkozásunk kiterjedt adatkezeléseket végez, sokféle személyes adatot gyűjt, több rendszert használ, melyek között személyes adatok áramlanak, illetve számos harmadik félnek ad át személyes adatot, érdemes felállítanunk egy adatvagyon kezelési struktúrát.
Ha úgy érzi segítségre van szüksége cége által kezelt személyes adatok kuszaságának kibogozásában és azok rendszerezésében, forduljon hozzánk bizalommal az iroda@tomosvarilaw.hu e-mail címen vagy foglaljon időpontot honlapunkon keresztül!
