Ehhez első lépésként azt kell tisztáznunk a magunk számára, hogy folytat-e a cégünk adatkezelést. A törvény szerint adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Fontos, hogy foglalkozzunk az adatvédelem kérdésével, mert a legtöbb cég egyelőre nem készült fel az Unió új adatvédelmi szabályaira - pedig akár többmilliós bírságok is elképzelhetők.
Tehát ahhoz, hogy adatkezelővé váljunk elég annyi, ha van egy hírlevél feliratkozási lehetőség a weboldalunkon. Ha pedig már önvizsgálatot tartottunk és beláttuk, hogy adatkezelők vagyunk, lássuk, mi a teendő:
1. Bejelentkezés
Mivel az adatvédelem biztosításáról hatóság is gondoskodik, ha adatkezelővé válunk, be kell jelentkeznünk a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH). Lehetőség van papíron és elektronikusan is benyújtani, a hatóság azonban az utóbbit ajánlja. A szükséges dokumentumok itt elérhetők.
2. Adatkezelési szabályzat
Ha adatokat kezel a cégünk, rendelkeznünk kell egy adatkezelési tájékoztatóval is. Ennek részletesen tartalmaznia kell, hogy az érintetteknek milyen adatait kezeli a cég, milyen célból használja fel azokat, mennyi ideig tárolják, kiadják-e harmadik félnek. Az adatvédelmi tájékoztatót az ügyfelek számára érthető módon és a saját tevékenységünkre vonatkoztatva kell megfogalmazni. Tehát nem jó megoldás letölteni egy előre megírt, általános formulát az internetről, vagy egyszerűen a törvény szövegét használni. Fontos, hogy körültekintően járjunk el, mert ha a hatóság úgy ítéli meg, hogy a jogszabálynak nem minden vonatkozó rendelkezését építettük be, súlyos bírságra számíthatunk.
Az adatkezelési szabályzat mindenképpen egy önálló dokumentum legyen, aminek címében szerepeljen az adatkezelés vagy adatvédelem szó. A legtisztább megoldás, ha egy külön menüpontot hozunk létre a számára a weboldalunkon – hiszen minél könnyebben elérhető, annál inkább bizalmat keltünk majd a látogatókban. Ha mégsem akarjuk külön megjeleníteni az adatkezelési szabályzatot, azt csatolhatjuk az Általános Szerződési Feltételekhez is, de semmiképpen ne dugjuk el túlságosan!
A netről letöltött verziókkal azért is jobb vigyázni, mert az adatkezelés komplex feladat, nem könnyű minden jogszabálynak megfelelni. Tehát ha azt is hisszük, hogy a "biankó" szabályzattal védve vagyunk, könnyen lehet, hogy nagy lyukak maradnak a saját tevékenységünkkel kapcsolatos, egyedi területeken. Érdemes tehát a szabályzat kialakításakor szakemberrel konzultálni.
3. Jogosság indoklása
Rendben van, kezelünk bizonyos adatokat – ügyfeleinkről, látogatóinkról stb. Ahhoz azonban, hogy ez elfogadható legyen, az adatkezelés kizárólag az érintett személy hozzájárulásán vagy kötelező jogszabályi rendelkezésen alapulhat. Az adatkezelési szabályzatban erről – vagyis a jogalapról – a felhasználót egyértelműen tájékoztatni kell.
Fontos az is, hogy az adatkezelés célját megfelelően indokolni tudjuk. Tilos ugyanis csak úgy „általában” tárolni az adatokat. Az adatvédelmi tájékoztatóban pontosan rögzíteni kell minden egyes célt, ami az adatkezelést indokolja.
Indokolt cél lehet, ha a szerződés teljesítéséhez – például a számlázáshoz – szükség van az adatok kezelésére, de erről is tájékoztatni kell az érintetteket. Ha viszont az adatokat marketing célokra is használni kívánjuk – például hírlevelet küldenénk – ahhoz nem elég az adatvédelmi nyilatkozatban rögzíteni a célt, hanem külön hozzájáruló nyilatkozat aláíratására van szükség!
4. Nem örökre szól!
Hiába járult hozzá egyszer az érintett az adatai kezeléséhez, azokat azonnal törölni kell, ha az adatkezelés célja már nem áll fenn. Vagyis, ha például kiszámláztuk az eladást. A kulcs mindig az adatkezelés eredeti célja (vagyis a szabályzatban lévő felsorolás pontossága). Ha olyan adatkezelésről van szó, amihez külön hozzájárulást kértünk, az adatot a felhasználó kérésére akkor is azonnal törölni kell.
