A felkészülés során 3 szakterület együttműködésére lesz szüksége egy szervezetnek. 

  • Jog
  • Informatika
  • Üzleti folyamatszervezés (projektmenedzsment)

Mely területeknek milyen feladatai lesznek a felkészülés során? 

A felkészülés elején fel kell mérni a szervezet működését és azonosítani azokat a pontokat, ahol adatkezelést folytat a szervezet. Nyilvántartást kell készíteni az azonosított adatkezelési folyamatokról. Az üzleti folyamatok mentén érdemes az adatkezelési folyamatokat azonosítani, de sajnos leggyakrabban – jegyezte meg Sándor Zsolt András a Gill & Murry Kft. ügyvezető partnere – a szervezetek nem rendelkeznek az általuk a napi működésben használt üzleti folyamatok nyilvántartásával.

A felkészülés ezen fázisában a projekt menedzsment és informatikai feladatok jelennek meg leggyakrabban.

Ezt követően a jog kerül előtérbe, mert meg kell határozni az egyes adatkezelési folyamatok célját, jogalapját és erről dokumentációt kell készíteni és naprakészen tartani. A GDPR elvárásai és a vonatkozó ágazati szabályozások alapján meg kell határozni az érintettek, az adatkezelők és az adatfeldolgozók jogait és kötelezettségeit, például az adatok megőrzésének idejét. Lehetnek olyan jogalapok, ahol a számviteli törvényben meghatározott megőrzési idő lesz a mértékadó, más esetekben az Érintettel kötött szerződés lejárata. Hozzájárulásos jogalap esetén az adatkezelés tarthat egy meghatározott időtartamig vagy akár az Érintett visszavonási kérelméig is.

Az adatkezelés célja és jogalapja mentén a szervezetnek el kell készítenie az adatkezelési tájékoztatót. Azon cégek esetében, ahol már közzétettek adatkezelési tájékoztatót, azt minden esetben javasoljuk felülvizsgálni – tette hozzá Sándor Zsolt.


A meghatározott jogok, kötelezettségek és dokumentációs elvárások függvényében derül majd ki, hogy a szervezetnek kell-e új munkafolyamatokat bevezetni, kell-e az informatikai adatbázisaikat újra szervezni, szükséges-e az informatikai alkalmazásaikat fejleszteni. A legtöbb esetben panaszkezelési, incidens kezelési eljárásrendet be kell vezetni, vagy a GDPR rendelet elvárásainak megfelelően felül kell vizsgálni. Ne is beszéljünk – tette hozzá Sándor Zsolt – az esetleges adatátadási folyamatok dokumentálási kötelezettségei következtében bevezetendő új üzleti folyamatokról.

Amennyiben egy szervezet az Érintettek adatait harmadik félnek adja át adatkezelésre vagy adatfeldolgozásra, úgy erről előzetesen tájékoztatni kell az Érintettet, és minden adatátadást dokumentálni kell az elszámoltathatóság elve mentén.


Ma az adatkezelés szinte minden esetben valamilyen informatikai rendszerben történik, legyen az egy egyszerű Word dokumentum, Excel táblázat vagy egy ERP rendszer adatbázisa. Minden esetben meg kell tudni őriznünk az informatikai rendszerben tárolt adatok rendelkezésre állását, sértetlenségét és bizalmasságát. Az adatkezelőnek kell bizonyítania, hogy mindent megtett az általa kezelt személyes adatok védelme érdekében. Itt érdemes megfontolni az ISO 27001 információbiztonsági szabvány elvárásait.


Összességében minden szervezetnek fel kell készülnie, hogy a GDPR rendelet elvárásainak megfelelően ki kell alakítania a dokumentációs elvárásokhoz tartozó üzleti folyamatait, biztonságos informatikai rendszert kell kialakítani és fenntartani, valamint a GDPR rendelet és más vonatkozó jogszabályok elvárásai szerint kell kialakítania az adatkezelési szabályzatát, az adatkezelési tájékoztatót és a vevőkkel és szállítókkal kötött szerződéseit.