Ma este, és (bizonyos helyeken) holnap reggel bizony mindenhova megérkezik a Jézuska, és remélhetőleg minden gyereknek meghozza a várva várt ajándékokat. Van azonban egy rossz hírem, ez az utolsó karácsony, amikor félvállról veheti az adatvédelmet!
Mennyiben érinti a Jézuskát a GDPR?
Nagyon sokban! Kezeli az EU-s, valamint az EU-ban tartózkodó egyéb állampolgár gyermekek lakcímét, korát, nevét és ajándék preferenciáit, arról nem is beszélve, hogy tisztában van az egész éves viselkedésükkel, melyek mind mind személyes adatok a GDPR szerint. Nem is beszélve a rengeteg emailről/levélről, amit az év során kap a gyerekektől, ki tudja, azokat vajon hogyan kezeli, bele se merek gondolni! Vitán felül áll tehát, hogy jövőre már alkalmaznia kell a GDPR-t a munkája során, az alábbiak szerint:
1. Hozzájárulás beszerzése: A 16. évalatti gyermekek esetében a jogszerű adatkezelés alapja, hogy a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adja meg, illetve engedélyezze az adatkezelést. Itt az ideje elgondolkozni, hogyan kívánja ezt a jövőben intézni, összhangban az elszámoltathatóság elvével.
2. Előzetes tájékoztatás: Mielőtt a Jézuska elkezdi a kis Gyurika fenti adatait kezelni, tájékoztatnia kell róla, hogy mely adatokat, mi célból, milyen feltételek szerint kívánja kezelni, és, hogy milyen hatóságnál élhetnek a jogorvoslati jogukkal.
3. Profilozás: Fontos tájékoztatni a gyerekeket/szülőket, hogy annak eldöntése során, hogy jól, vagy rosszul viselkedtek az év során, bizony profilozást alkalmaz és automatikus döntéshozatalra is sor kerülhet. A kis Gyurika szülei bizony tiltakozhatnak is ezzel szemben, ami a Jézuska üzleti modelljének a végét, vagy legalábbis a HR költségei drasztikus elszállását is jelentheti, hiszen ilyen esetben biztosítania kell az angyali beavatkozást.
4. Munkaügyi adatok kezelése: Ott az a rengeteg angyalka aki segíti a munkáját, akár megbízási, akár munkaszerződéssel alkalmazza őket, az Ő adataik kezelése során is bizony meg kell felelnie a GDPR-nak.
Milyen feladatai vannak a Jézuskának a GDPR alkalmazásáig?
A fentieken felül is vannak bizony feladatai a GDPR megfeleléshez vezető úton, ha nem szeretné jövőre egy esetleges NAIH ellenőrzést követően bezárni a boltot, az alábbiak szerint:
1. Érintetti jogok gyakorlásának biztosítása: Biztosítania kell – lehetőség szerint online úton – hogy az érintettek kérhessék az adataik törlését, helyesbítését, vagy hozzáférését. Az adathordozhatósági jogról nem is beszélve, mert bár Gyurika biztos benne, hogy azt kapja, amit emailben/levélben kért, ha esetleg mégis csalódna, biztosítani kell, hogy kérhesse a lista elküldését valamely online játékáruházhoz.
2. Érintettek azonosítása: Ki kell dolgozzon megfelelő online módszert a kérelmek teljesítése során arra, hogy az érintettek megfelelően azonosíthassák magukat.
3. Adatvédelmi angyalfelelős kinevezése: Tekintettel arra, hogy az egész év során rendszeres és szisztematikus, nagymértékű megfigyelést végez, mely ráadásul még gyerekekre is irányul, 2018. május 25. napjától ki kell nevezzen egy angyalt, aki ellátja a tisztviselői feladatokat, és együttműködik a hatóságokkal.
4. Adatbiztonság: A mennyei informatikai rendszerek megfelelő biztonsága felől is szükséges intézkedni, hiszen köztudott tény, hogy a Grincs már idén is komoly hacker hadsereget üzemeltetett, hogy kihackeljék a Jézuskától a gyerekek ajándék preferenciáit.
Miért fontos a megfelelés?
A GDPR a jogsértéseket legfeljebb 20 millió euróval szankcionálhatja, mely különös tekintettel a kiskorúak adataira, a hatalmas érintetti számra, valamint a tevékenysége valószínűsíthetően magas kockázatára az érintettek jogaira, nem vehető félvállról. Tekintettel arra, hogy a Jézuska a üzletet non-profit jelleggel működteti, mindenképp azt ajánljuk,hogy minél előbb kezdje meg a felkészülést, hiszen egy nagyobb büntetés az egész üzleti modell fenntartását veszélyeztetheti.
Adatvédelmi tisztviselőkkel kapcsolatos blogposztjainkat ezen a címen olvashatják.
Nagyon boldog, áldott, kellemes ünnepeket kívánok mindenkinek!