Számos megbízónknál tapasztaltuk, hogy egy weboldal, vagy webshop mielőbbi elindítása érdekében nem jut idő vagy elég fókusz az adatkezelések tudatos megtervezésére. Bár látszólag az elején ez időveszteségnek tűnik, hosszútávon mindenképp kifizetődő, ha már a megvalósítás előtt végig gondoljuk, hogy ügyfeleink mely adatait gyűjtjük, azokat mire használjuk és hogyan, kik férnek majd hozzá és mennyi ideig tároljuk őket.
Sok esetben utólagosan kell kijavítani vagy átalakítani az adatkezeléseket, az üzleti folyamatokat, vagy akár a weboldalt is, ami többlet költséggel jár.
Mielőtt belevágnánk a megvalósításba érdemes a „Beépített és alapméretezett adatvédelem” (privacy by design and default) elvét követnünk, bevonva az informatikus kollégát/ partnert is.
De mit is takar ez az elv a gyakorlatban?
- Csak olyan személyes adatokat gyűjtsünk be ügyfeleinktől, melyeknek specifikus, átlátható és legitim célja van. Ne halmozzunk fel felesleges adatokat arra gondolván, hogy ezt versenytársaink is gyűjtik, vagy majd a jövőben hasznukat vesszük valamire. Szigorúan azokat az adatokat gyűjtsük, melyek feltétlenül és elengedhetetlenül szükségesek üzleti folyamataink működtetéséhez, vagy jogszabályi megfeleléshez.
- Csak annyi ideig tároljuk a személyes adatokat, ameddig az valóban szükséges. Itt a GDPR nem ad konkrét időintervallumokat, hanem csak egy általános irányelvet fogalmaz meg. Azaz, csak addig tárolhatjuk a személyes adatokat amíg annak valamilyen célja van, akár üzleti folyamataink végrehajtásához, vagy akár törvényi előírásokból kifolyólag. Amennyiben ezek a feltételek teljesültek, gondoskodjunk arról, hogy biztonságos módon szabaduljunk meg a „lejárt” személyes adatoktól. Ne feledjük, hogy ez az elv a papíralapú adatkezelésekre is vonatkozik! Érdemes tehát már a kezdetektől olyan technikai megoldást választanunk, melybe eleve be van építve az adattörlés vagy anonimizálás lehetősége.
- Csak abban az esetben gyűjtsünk személyes adatokat, ha mindenre van megfelelő jogalapunk. Minden egyes személyes adatkezelés esetében, meg kell határoznunk, hogy mi az adatkezelés jogalapja. Ez lehet például egy jogszabály, szerződés, érintetti hozzájárulás, a vállalkozásunk jogos érdeke stb. Ha nincs jogalap, nem kezeljük törvényesen az adott személyes adatot.
- Rendkívül fontos, hogy a már rendelkezésünkre álló személyes adatokat biztonságos módon tároljuk és gondoskodjunk azok bizalmasságáról. Azaz, gondoljuk végig, hogy mely kollégáinknak szükséges bizonyos személyes adatokat látniuk ahhoz, hogy el tudják végezni a munkájukat. Feleslegesen ne adjunk hozzáférést adatokhoz, kövessük a szükséges mérték elvét. Az autorizációk dokumentálása nagyban hozzásegít minket ahhoz, hogy időnként ezt könnyen felül tudjuk vizsgálni.
- Kulcsfontosságú, hogy a már összegyűjtött személyes adatokat csak arra célra használjuk, amelyeket eredetileg meghatároztunk. Amennyiben új célra kívánnánk használni a már meglévő adatokat, erről mindenképp időben tájékoztassuk a releváns ügyfélkört, annak érdekében, hogy lehetőséget biztosítsunk érintetti jogaik gyakorlására.
Amennyiben segítségre lenne szüksége adatkezeléseinek átvilágításában, vagy akár azok megtervezésében, forduljon irodánkhoz bizalommal az iroda@tomosvarilaw.hu e-mail címen vagy foglaljon időpontot honlapunkon keresztül!
