Az ICO által javasolt felkészülési útmutató következő három lépése:
8. Gyermekek jogai
Már most gondolkozzon el különböző ügymenetek bevezetésén, melyekkel igazolhatja a személyek korát, és melyekkel szülői vagy törvényes képviselői beleegyezést szerezhet az adatkezelési folyamatokhoz.
Az új általános adatvédelmi rendelet (továbbiakban GDPR) most először speciális védelmet fog biztosítani a gyermekek személyes adatainak, különös tekintettel az olyan internetes szolgáltatások esetén, mint például a közösségi oldalak. Röviden, amennyiben szervezete gyermekekről gyűjt információkat – az Egyesült Királyságban ez valószínűleg a tizenhárom év alatti gyermekekre fog vonatkozni (Magyarországon 16. év marad a korhatár – a szerk.) –, akkor szüksége lesz egy szülő vagy gondviselő beleegyezésre, hogy törvényesen kezelhesse a személyes adataikat. Ennek jelentős vonzatai lehetnek, amennyiben az Ön szervezete gyermekeknek nyújt szolgáltatásokat, és ehhez személyes adatokat gyűjt be tőlük. Ne felejtse el, hogy a hozzájárulásoknak ellenőrizhetőknek kell lenniük, és amennyiben gyermekek adatait gyűjti be, az adatkezelési tájékoztatót úgy kell megfogalmaznia, hogy azt a gyermekek is megértsék.
9. Az adatok kiszivárgása
Bizonyosodjon meg róla, hogy megfelelő eljárásokat alkalmaz a személyes adatok kiszivárgásának kiszűrésére, jelentésére és kivizsgálására.
Néhány szervezetnek már most jelentenie kell az adatvédelmi hatóságnak (és talán más egyéb testületnek is), ha a személyes adatok kiszivárognak. Azonban a GDPR egy átfogó bejelentési kötelezettséget vezet be. Ez sok szervezet számára új lehet. Nem kell majd minden esetet bejelenteni az adatvédelmi hatóságnál – csak azokat, melyek során a magánszemélyeket valószínűsíthetően valamilyen kár érheti, például személyazonossággal való visszaélés vagy titoktartási követelmények megszegése esetén.
Érdemes már most meggyőződnie arról, hogy eljárásai megfelelően képesek kiszűrni, jelenteni és kivizsgálni a személyes adatok kiszivárgását. Ez jelentheti az Önnél lévő adatok típusainak felbecsülését, valamint annak dokumentálást, hogy melyek esnek a bejelentési kötelezettség alá, amennyiben kiszivárognak. Néhány esetben értesítenie kell azon természetes személyeket is, akiknek az adatait közvetlenül érinti az incidens, például ha az anyagi veszteséggel járhat számukra. A nagyobb szervezeteknek irányelveket és eljárásokat kell kidolgozniuk, hogy kezelni tudják az adatok kiszivárgását – történjen az akár központi, akár helyi szinten. Vegye figyelembe, hogy a kiszivárgás jelentésének elmulasztása, amennyiben megkövetelt lenne, bírságot von maga után, ahogy maga a kiszivárgás is.
10. Beépített adatvédelem, adatvédelmi hatásvizsgálat
Nézze át az ICO által kibocsátott útmutatót az adatvédelmi hatásvizsgálatokról (PIAs) , és tervezze meg, hogy szervezete hogyan kivitelezi azokat. Ez az útmutató tájékoztatást ad arról, hogy az adatvédelmi hatásvizsgálat hogyan kapcsolódhat más, szervezeti folyamatokhoz, mint például a kockázat- és projektkezeléshez. El kell kezdenie felbecsülnie azokat a helyzeteket, melyeknél szükséges lesz adatvédelmi hatásvizsgálatra. Ki fogja elvégezni? Kinek kell még részt vennie benne? Központilag vagy helyileg futtatják le a folyamatot?
Mindig is jól bevált módszer volt a beépített adatvédelmi megközelítés bevezetése, és az adatvédelmi hatásvizsgálat ennek részeként való lefolytatása. A beépített adatvédelem és az adatminimalizálási megközelítés mindig is magától értetődő követelménye volt az adatvédelmi elveknek. Azonban a GDPR ezeket kifejezett jogi követelményekké teszi.
Vegye figyelembe, hogy nem kell mindig lefuttatnia a PIA-t – az adatvédelmi hatásvizsgálato nagy kockázatú helyzeteknél követelik meg, például egy új technológia bevetésénél.
(Forrás: https://dpreformdotorgdotuk.files.wordpress.com/2016/03/preparing-for-the-gdpr-12-steps.pdf)