GDPR - Szükséges intézkedések listája
A bevezető részben a GDPR-ra vonatkozó alapinformációkat írtuk körül. A vállalatánál szükséges intézkedések meghatározását a következő egyszerű lista segítheti. Ez egy olyan logikai műveletsor, amivel feltérképezi, hogy az ön által kezelt személyes adatok hol és hogyan mozognak. Függetlenül attól, hogy azok az alkalmazottainak, vagy a látogatóinak az adatai-e. Az ezekhez a pontokhoz tartozó összes anyagot az Adatvédelmi Hatóság részéről végzett esetleges ellenőrzéshez archiválnia kell, és alá kell támasztania.
GDPR checklist
Rajtam kívül másnak is van hozzáférése a személyes adatokhoz a vállalatnál?
IGEN - NEM
Ha a válasza IGEN, úgy gondosan térképezze fel és írja le, hogy az alkalmazottainak hol és milyen adatokhoz van hozzáférése. Ez nem csak az online, hanem a fizikai hozzáférésre is vonatkozik. Vizsgálja felül, hogy valóban szükség van-e arra, hogy ezek az alkalmazottak minden adathoz abban a terjedelemben férjenek hozzá, mint ahogyan most megtehetik.
A térkép elkészítéséhez és annak a vizuális megjelenítéséhez, hogy az alkalmazottai közül kinek és milyen adatokhoz van hozzáférése, használhatja az úgynevezett "mind map" (például: Coggle) szolgáltatást.
Feltérképeztem az összes olyan veszélyes helyet, ahol a személyes adatok kikerülhetnének a vállalatomtól?
IGEN - NEM
Amennyiben NEM, készítsen egy táblázatot, ahol kielemzi azokat a tevékenységeket, melyek a személyes adatokkal kerülnek elvégzésre. Például a számlák számviteli feldolgozása, e-mail kommunikáció, notebook, tárhely és hasonlók. Írja össze az alanyok és a személyes adatok kategóriáit, valamint a személyes adatok kezelésének célját, és becsülje meg azok kijutásának lehetséges veszélyét - például „alacsony“, „közepes“, „magas“.
A jegyzék elkészítéséhez egy egyszerű excel dokumentum is elég.
A munkavégzésre szolgáló számítógépe be van biztosítva adatvesztés, vagy az adatok megsemmisülése ellen (másolatok, vírus elleni program, kódolás)?
IGEN - NEM
Amennyiben NEM, a következő intézkedésekre van szükség.
A megfelelő vírusírtó választása, a tűzfal aktiválása és az adatok rendszeres másolati mentésének bevezetése (egy külső tárhelyre) nem csak az ügyfelei adatainak a védelmét segítheti, hanem az ön mindennapi munkáját is védi, és a saját biztonságát is megnöveli. Titkosíthatja a fájlokat és a lemezeket is, de ez nem kötelező.
Saját szerveremre mentem el a személyes adatokat?
Be van biztosítva a számítógépem jogosulatlan személy hozzáférése ellen (logok, jelszavak, lezárható területek)?
IGEN - NEM
Amennyiben NEM, a következő intézkedésekre van szükség.
Kezdje el használni például a LastPass jelszókezelőt a jelszavak tárolására. Ne használjon egyszerű, vagy azonos jelszavakat. Gondoskodjon arról, hogy azokhoz a helyekhez, ahol a szervere van, jogosulatlan személyek ne férjenek hozzá. Valamint arról, hogy azok, akiknek hozzáférésük van, tájékoztatva legyenek a biztonsági alapelvekről. Gondoskodjon arról, hogy ezek a helyek elzárhatóak legyenek.
A felhőbe mentem a személyes adatokat?
Van megkötött adatfeldolgozói szerződésen a felhő szolgáltatójával?
IGEN - NEM
Amennyiben NEM, kössön adatfeldolgozói szerződést a felhő szolgáltatójával (GDPR 28. cikk). A nagyobb szolgáltatók közzé teszik az adatfeldolgozói szerződéseiket a weboldalukon.
A Shoptet és ön közötti Adatfeldolgozói szerződést az A személyes adatok védelmének feltételei (II. pontjában megfogalmazott) nyilatkozatunkban nyomtathatja ki. Hasonló szerződéssel kellene rendelkeznie az összes olyan online szolgáltatóval, ahová az alkalmazottai, látogatói, vagy az ügyfelei személyes adatait elmenti.
Tárolom-e a személyes adatokat papír alapon (szekrény, mappák)?
Be van biztosítva a helyiség/szekrény úgy, hogy jogosulatlan személyek ne férjenek hozzá (biztonsági kulcs, zár, elzárható hely)?
IGEN - NEM
Amennyiben NEM, a következő intézkedésekre van szükség.
Az olyan érzékeny dokumentumokat, mint a munkaszerződések, bérszámfejtés, beszállítói szerződések, vagy ügyfelekkel kötött szerződések, zárható helyiségben, vagy szekrényben/páncélszekrényben kell tárolnia. Biztonságosabb kiselejteznie azokat a dokumentumokat, amikről 100%-ban tudja, hogy már nem lesz rá szüksége,feltéve, hogy a törvényi előírások szerint nem kötelessége ezeket a dokumentumokat megőrizni (számviteli bizonylatok, nyilvántartási lapok stb.).
Átadhatom más alanyoknak a személyi adatokat, hogy számomra feldolgozzák azokat (könyvelő, szállítók)?
IGEN - NEM
Amennyiben IGEN, van velük megkötött adatfeldolgozói szerződésem?
IGEN - NEM
Amennyiben NEM, kösse meg velük az adatfeldolgozói szerződést (GDPR 28. cikk). A nagy szolgáltatóknak már lesz előre elkészített szerződésük. Kérje ki tőlük és olvassa el, hogy megfelel-e az elvárásainak. Amennyiben nem, kérje a szerződés módosítását.
Tájékoztatom az adatok alanyát például a Szerződési feltételekben, vagy a weboldalon a személyes adatok GDPR szerinti feldolgozásáról?
IGEN - NEM
Amennyiben NEM, közölje az ügyféllel a GDPR 13. cikk vagy 14. cikk szerint az információkat.
Ellenőriztesse, vagy egészíttesse ki az Általános szerződési feltételeket ügyvéddel, hogy biztos legyen abban, hogy minden rendben van. Használhatja az adatvédelmi szabályzat mintánkatis, de még ebben az esetben is ki kell azt egészíteni az ön körülményeinek megfelelően, és le kell ellenőriztetni.
Feldolgozom a potenciális ügyfelek személyes adatait marketing célokra?
IGEN - NEM
Amennyiben IGEN, a marketinghez történő hozzájárulás megfelel a GDPR-nak?
Amennyiben NEM, illessze be az Adatvédelmi szabályzatába az ügyfél hozzájárulását a marketinghez a GDPR (GDPR 4. cikk 11. pont és 7. cikk) szerint, és ezekkel a feltételekkel biztosítsa az ügyfél hozzájárulását. A megrendelésnél lesz egy jelölőnégyzete az Általános szerződési feltételekhez és mellette egy másik jelölőnégyzet az Adatvédelmi szabályzathoz.
Tartsa szem előtt, hogy a marketing közlések átadására szolgáló személyes adatok megadásának mindig önkéntesnek és tudatosnak kell lenniük. Ne vásároljon olyan értékesítőktől levelezési vagy elérhetőségi adatokat, akikről nem tudja 100%-ban, hogy ezt az ügyfeleik hozzájárulásával teszik.
Feldolgozom a jelenlegi ügyfelek személyes adatait marketing célokra?
Küldök a jelenlegi ügyfeleknek hírleveleket?
IGEN - NEM
Amennyiben IGEN, minden e-mailben adok lehetőséget az ügyfeleknek arra, hogy leiratkozhassanak a fogadásáról?
IGEN - NEM
Amennyiben NEM, minden e-mailbe iktassa be a leiratkozás lehetőségét. Ez minden nagyobb e-mail-szolgáltató, például a Mailchimp láblécében alapértelmezetten benne van.
Tartsa szem előtt, hogy a hírlevélről történő leiratkozás nem köthető semmilyen bonyolult művelethez. Egyetlen kattintással, azonnali hatállyal végre kell tudni hajtani.
Profilozom az ügyfeleket?
IGEN - NEM
Amennyiben IGEN, a profilozáshoz történő hozzájárulás megfelel a GDPR-nak?
IGEN - NEM
Amennyiben NEM, illessze be az Adatvédelmi szabályzatába az ügyfél hozzájárulását a profilozáshoz a GDPR (GDPR 4. cikk 11. pont és 7. cikk) szerint, és ezekkel a feltételekkel biztosítsa az ügyfél hozzájárulását. A megrendelésnél lesz egy jelölőnégyzete az Általános szerződési feltételekhez és mellette egy másik jelölőnégyzet az Adatvédelmi szabályzathoz.
Az ügyfelek profilozása alatt az ügyfelek egész csoportjainak külön szegmensekre történő marketinges szelektálása értendő, például a weben vagy a vásárláskor tapasztalt meghatározott viselkedésük szerint.
Figyelmeztetés
Ez egy általános összefoglaló, amely tartalmazza mindazokat a témákat, amelyeket érdemes ellenőrzés alatt tartani. Nem garantálja az összes webáruház számára a személyes adatok védelméhez az összes szükséges lépés- és megoldás 100%-os lefedését.