1. A cég azon folyamatainak felmérése és számbavétele, ahol személyes adatok kezelése folyik - az adatkezelési műveletek átvilágítása. „Személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
2. A cég adatvédelmi szabályzatának aktualizálása a GDPR rendelkezéseivel való összhangba hozatal céljából. A szabályzat aktualizálása a társaság vezetőjének feladata.. 3.Adatvédelmi szabályzat hatályba léptetése (és a cég székhelyén, telephelyén tartása.
3. A weboldal adatkezelési tájékoztató aktualizálása, feltöltése a cég honlapjára.
4. Az adatvédelmi szabályzat rendelkezéseinek megismertetése a munkavállalókkal, egyben a munkavállalók személyes adatainak kezelésével kapcsolatos tájékoztatás megadása részükre. E körben a munkahelyi adatkezelési tájékoztatót ismertetni kell a munkavállalókkal.
5. A munkavállalókkal kötött munkaszerződések felülvizsgálata, módosítása. A munkaszerződést ki kell egészíteni a személyes adatok kezelésével kapcsolatos titoktartási nyilatkozattal és a szabályzat rendelkezéseinek betartására kötelezettséget vállaló nyilatkozattal.
6. Természetes személy szerződő partnerek esetén a természetes személyek tájékoztatása személyes adataik kezelésével kapcsolatban.”
7. Adatfeldolgozási szerződés kötése. Ha a cég más nevében személyes adatokat kezel, pl. könyvviteli szolgáltatást végez, adatfeldolgozási szerződést kell kötni a megbízóval (az adatkezelővel)..
8. A munkavállalók titoktartási nyilatkozatának beszerzése az adatfeldolgozói tevékenységre vonatkozóan.
9. Adatkezeléshez hozzájáruló nyilatkozatok közzététele és beszerzése önkéntes hozzájáruláson alapuló adatkezelés esetén. (Pl. regisztráció, hírlevél feliratkozás)
10. Adatkezelési nyilvántartás készítése és vezetése az egyes adatkezelési tevékenységekről. A munkaviszonnyal kapcsolatos adatkezelések nyilvántartására
11. Adatfeldolgozói nyilvántartás készítése. Az adatfeldolgozó köteles nyilvántartást vezetni az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról.
12. Adatvédelmi incidensek nyilvántartásának elkészítése.
13. Kamerák üzemeltetése esetén kamera tájékoztatók kihelyezése, amelyeket úgy kell elhelyezni, hogy a megfigyelt területre/helyiségbe belépés előtt megismerhetők legyenek. A kamerák hangot nem rögzíthetnek.
14. Adatvédelmi tisztviselő kinevezése. Abban az esetben kötelező, ha az adatkezelést közhatalmi, közfeladatot ellátó szerv végzi, továbbá ha a fő tevékenység az érintettek rendszeres, szisztematikus nagymértékű megfigyelésre irányul, illetve ha a vállalkozás különleges adatokat, vagy büntetőjogi felelősséggel kapcsolatos adatokat kezel nagy mennyiségben fő tevékenységként.
15. Adatvédelmi hatásvizsgálat elkészítése magas kockázatú adatkezelés esetén.

1. Adatvédelmi szabályzat felülvizsgálata, aktualizálása, adatkezelési tájékoztató felülvizsgálata, aktualizálása.
2. Az alkalmazottak rendszeres ellenőrzése, számonkérése az adatvédelmi előírások betartásával kapcsolatban.
3. Az adatkezelés biztonságának garantálására alkalmazott rendszerek és eljárások folyamatos bizalmas jellegének biztosítása, ellenálló képességének fenntartása.

1. Az adatvédelmi szabályzat rendelkezéseinek megismertetése a belépő munkavállalókkal, egyben a munkavállalók személyes adatainak kezelésével kapcsolatos tájékoztatás megadása részükre.
2. A belépő munkavállalóval kötött munkaszerződésnek részét kell képeznie a személyes adatok kezelésével kapcsolatos titoktartási nyilatkozatnak és az adatvédelmi szabályzat rendelkezéseinek betartására kötelezettséget vállaló nyilatkozatnak.
3. Adatfeldolgozási szerződés kötése, ha a cég megbízást kap más nevében történő személyes adatok kezelésére. Utóbbi esetben a munkavállalók titoktartási nyilatkozatát be kell szerezni az adatfeldolgozói tevékenységre vonatkozóan.
4. Adatkezeléshez hozzájáruló nyilatkozatok közzététele és beszerzése önkéntes hozzájáruláson alapuló adatkezelés esetén
5. Természetes személy szerződő partnerek esetén a természetes személyek tájékoztatása személyes adataik kezelésével kapcsolatban.
6. Az érintettek kérelmeinek teljesítése. (Hozzáférés biztosítása az érintett számára a személyes adatokhoz, személyes adatok helyesbítése, törlése, az érintett adathordozhatósághoz való jogának körében másolat kiadása az adatokról, illetve az érintett kérésére más adatkezelő részére való közvetlen továbbítás.)
7. Adatvédelmi incidens esetén 72 órán belül bejelentés megtétele a felügyeleti hatóság részére, kivéve ha valószínűleg alacsony kockázattal jár az incidens. Az érintett értesítése az incidensről akkor kötelező, ha nagy kockázatú az incidens.
8. Az adatvédelmi szabályzatban rögzített adatköröknek megfelelően a határozott idő elteltét, vagy az érintetti hozzájárulás visszavonást követően a kezelt személyes adatok végleges megsemmisítése, törlése.

Az adatvédelmi szabályzat rendelkezései szerint. (ilyenek a személyes adatok álnevesítése, titkosítása, informatikai nyilvántartások és papír alapú nyilvántartások védelmére tett intézkedések, jogosulatlan hozzáférés elleni védelem biztosítása.

1. Antivírus szoftvert kell telepíteni minden olyan eszközre, amelyen személyes adatokat tárolnak, ha erre korábban került sor. A számítógépes vírusok elleni védelmet folyamatosan biztosítani kell az antivírus szoftver és az operációs rendszer automatikus frissítéseinek beállításával, lehetőség szerint folyamatos vírusellenőrzéssel.
2. A helyi hálózat tűzfallal való ellátása.
3. A Wifi hozzáférést jelszavasítani kell, amennyiben erre korábban nem került sor.
4. A számítógépeken felhasználói név/jelszó beállítása minden egyes munkavállaló esetén, az informatikai rendszerben kezelt adatállományok jelszavakkal való védelme, illetve titkosítása.
5. Rendszeres biztonsági mentések végrehajtása a kezelt adatállomány tekintetében, a biztonsági másolatok elkülönített kezelésének megvalósítása külső merevlemezre történő mentéssel.
6. A munkavégzéshez használt szoftverek használata során minden munkavállalónak legyen felhasználói neve/felhasználói fiókja.
7. Villámvédelemről gondoskodás túlfeszültség levezető beszerelésével.
8. Az irodákat zárhatóvá kell tenni, a számítógépekhez fizikailag csak a felhasználóik férhessenek hozzá. Ezzel elkerülhető, hogy illetéktelenek (pl. ügyfelek) fizikailag hozzáférjenek az eszközökhöz.
9. Gondoskodni kell az informatikai rendszer hardver eszközeinek fizikai védelméről. A szervert zárható helyen kell elhelyezni, ahhoz fizikailag is csak a jogosult(ak) férhessenek hozzá.
10. A szerver helyiségben szükség esetén a lokális klimatizálásról gondoskodni kell.
11. A tűzvédelem megvalósítása céljából a tűzvédelmi előírásokat be kell tartani, a amennyiben tűzoltókészülékek nincsenek felszerelve, azokról gondoskodni kell.
12. A papíralapú dokumentumon kezelt személyes adatok védelme céljából ezeket a dokumentumokat kizárólag kulccsal zárható szekrényben lehet tárolni. Az ügyfélfogadás során el kell kerülni, hogy az ügyfél személyes adatokat tartalmazó dokumentumokhoz hozzáférjen, vagy azokba betekinthessen.
13. Iratmegsemmisítő használatának bevezetése.

Nincs két egyforma vállalkozás és a GDPR kockázat alapú megközelítést alkalmaz. Ezért minden cégnek magának kell felmérnie adatgyűjtési és tárolási folyamatait, jogi tanácsot kérnie és biztosítania, hogy működésük megfelel a GDPR elvárásainak. A szükséges lépések meghatározásában segítenek a lenti kérdések.

1. Milyen Személyes adatokat gyűjtünk, tárolunk?
2. Megfelelő forrásból származnak? Megvan az adatkezeléshez szükséges hozzájárulás mindenkitől, mindenkit megfelelően tájékoztattunk a konkrét adatkezelési céljainkról? Egyértelmű és félreérthetetlen volt a tájékoztatás? Tartalmazta a tényt, hogy bármikor visszavonhatják hozzájárulásukat?
3. Hogyan biztosítjuk, hogy a már nem szükséges Személyes adat összes példánya törlésre kerüljön?
4. Hogyan biztosítjuk a megtartott Személyes adatok naprakészen tartását?
5. A kockázatnak megfelelő biztonsági megoldásokat alkalmazva tárolunk minden Személyes adatot? Alkalmazunk titkosítást, adat roncsolást ahol kell? Hogyan korlátozzuk a hozzáférést, hogyan biztosítjuk, hogy csak a szándékolt célból lehessen hozzáférni Személyes adatokhoz?
6. Gyűjtünk különlegesnek minősülő személyes adatokat? Különleges személyes adatnak minősül többek között a faji, etnikai hovatartozás; politikai vélemények; vallási és filozófiai hitek; szakszervezeti tagság; genetikai vagy biometriai adatok melyek alkalmasak a személy beazonosítására; egészségi állapotra vonatkozó adatok vagy a szexuális élettel illetve szexuális irányultsággal kapcsolatos adatok. Ha igen, megfelelünk az emiatt ránk vonatkozó sokkal szigorúbb feltételeknek is?
7. Hogyan kezeljük alkalmazottaink adatait?
8. A cég munkatársai tisztában vannak a GDPR által szabott kötelezettségekkel?
9. működtetünk-e WEB oldalat? Ha igen, adatvédelmi tájékoztató került e elhelyezésre, ha igen, harmónikus e hatályos jogszabályokkal?
10. Van-e kamerarendszerünk: ha igen, erre vonatkozó Szabályzat?
11. Megvan a biztonsági riasztó rendszer, ami biztosítja, hogy az érintetteket egy esetleges incidens után megfelelő időn belül és részletességgel tájékoztatni tudjuk?
12. A cég összes munkatársa megfelelő képzésben részesült, hogy biztosítsuk az új EU szabályozásnak megfelelően kezelik a Személyes adatokat?
13. Van publikus Adatvédelmi tájékoztatónk? Ha igen, frissítettük, hogy megfeleljen a GDPR-nak és "infotörvénynek" (információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény)?
14. Van a cégnek hatályos Adatvédelmi irányelve? Ha igen, frissítettük, hogy megfeleljen a GDPR-nak és "infotörvénynek"?
15. Készült részletes adatvagyon leltár ami lefed minden kezelt Személyes adatot (vevők, érdeklődők, marketing adatbázisok, beszállítók, partnerek, munkatársak, álláshirdetésre jelentkezők). Megfelel a GDPR-nak?
16. Minden csoporthoz megvan az előre meghatározott adatkezelési időtartam? Biztosított az időtartam lejárta utáni törlés?
17. Ha adatfeldolgozók vagyunk, frissültek szerződéseink adatkezelőkkel, hogy a GDPR 28.-ik cikkejében meghatározott kötelező elemek szerepeljenek benne?

A GDPR előírásainak való megfeleléshez a fenti kérdések Szabályzatokban, Tájékoztatókban, Hozzájáruló nyilatkozatokban történő rögzítése szükséges.