Az ICO által javasolt felkészülési útmutató következő három lépése:
5. Az érintettek hozzáférési joga
Aktualizálja eljárásait és tervezze meg, hogyan fogja kezelni a kérelmeket az új szabályok szerint, és hogyan nyújt további tájékoztatást.
Az érintettek hozzáférési jogára vonatkozó szabályok a GDPR értelmében megváltoznak. A legtöbb esetben nem számolhat fel költséget a kérelmek teljesítése után, és általánosságban véve egy hónap áll majd a rendelkezés végrehajtására. Az érintettek hozzáférési kéréseinek visszautasítására különböző okok állnak majd rendelkezésre – a megalapozatlan vagy túlzó kérelmek után díjat számolhat fel vagy elutasíthatja őket. Amennyiben vissza szándékozik utasítani egy kérelmet, szükséges, hogy kéznél legyenek azok az irányelvek és eljárások, melyekkel bizonyíthatja, hogy a kérelem miért nem felel meg a kívánt kritériumoknak.
Ezenkívül, egyéb információkkal is szolgálnia kell azoknak, akik kérelmet nyújtanak be, például az adattárolás időtartamáról, vagy a pontatlan adatok helyesbítésére vonatkozó jogokról. Amennyiben az Ön szervezete nagy mennyiségű hozzáférési kérelmeket kezel, a változások hatása jelentős lehet, így érdemes alaposan végiggondolnia a kérelmekkel való gyorsabb eljárás és a további információszolgáltatás logisztikai velejáróit. Az adminisztratív költségek jelentős részét megspórolhatja szervezetének, ha olyan rendszert fejleszt ki, amely lehetővé teszi az információ könnyű, online hozzáférését. A szervezeteknek érdemes megfontolnia az online adathozzáférés költség/haszon elemzésének levezetését.
6. A személyes adatok kezelésének jogalapja
Nézze át az Ön által végrehajtott adatkezelések különböző típusait, határozza meg kezelésük jogalapját, és dokumentálja azt.
Sok szervezet esetleg nem gondol a személyes adatok kezelésének jogalapjára.
Az adatvédelmi tájékoztatóban, illetve amikor az érintettek hozzáférési kéréseire válaszol, fel kell tüntetnie a személyes adatok kezelésének jogalapját. A GDPR jogalapjai nagy vonalakban megegyeznek a korábbi jogalapokkal, így lehetősége van átnéznie a jelenleg futó adatkezelései különböző típusait és meghatároznia az azokra vonatkozó jogalapot. Ezt érdemes dokumentálnia is, hogy eleget tegyen a GDPR „elszámoltathatósági” követelményeinek.
7. Hozzájárulás
Vizsgálja felül, hogyan igényli, szerzi meg és dokumentálja a hozzájárulásokat, és hogy kell-e változtatásokat tennie.
A GDPR-ben is vannak hivatkozások mindkét beleegyezési formára („beleegyezés” és „kifejezett beleegyezés”). A különbség a kettő között nincsen egyértelműen megadva, lévén hogy mindkét beleegyezési formának díjmentesnek, specifikusnak, megfelelő tájékozottságon alapulónak és egyértelműnek kell lennie. A hozzájárulásoknak ezenkívül jelölniük kell a beleegyezést a személyes adatok felhasználásához – nem alapulhat hallgatásból való vélelmen, előre bejelölt check box-on vagy inaktivitáson. Amennyiben hozzájárulás alapján kezeli az adatokat, győződjön meg róla, hogy azok megfelelnek a GDPR által elvárt szabályoknak. Ha nem, változtassa meg a hozzájárulási folyamatok szerkezetét vagy találjon rá alternatív megoldást. Vegye figyelembe, hogy a beleegyezéseknek ellenőrizhetőknek kell lenniük, és hogy a természetes személyek általánosságban véve erősebb jogokkal rendelkeznek.
A GDPR egyértelműen kijelenti, hogy az adatkezelőknek minden esetben be kell tudni mutatniuk, hogy a beleegyezés megtörtént. Éppen ezért érdemes felülvizsgálnia a jelenlegi, beleegyezéseket nyilvántartó rendszerét, hogy biztosítsa annak megfelelő visszavezethetőségét.