( sz332 | 2022. 01. 22., szo – 16:13 )

Az első lépés az, hogy megnézed, hogy a rendszeredben milyen személyes adatokat tárolsz. Ezeket szépen be kell kategorizálni, mit, miért, és meddig tartasz. Vannak olyan adatok, amiket pl. jogosan tárolsz, és még akkor sem kell törölni, ha a felhasználó kéri. Ha ez megvan, akkor szépen végignézed az általad kezelt adatvagyont, és megnézitek egyesével, hol van személyes adat kezelve, és ez miért is van. Ezután pedig gondoskodsz arról, hogy ha ezt törölni kell, akkor ezt meg lehessen tenni. Ennek egy módja a fent említett technikai megoldás, de hogy ezt te hogyan oldod meg, már elnézést, de a te problémád. Amikor a hatóság pedig visszatöltést kér, akkor akár sorról sorra és végigmehetsz a tárolt logokon, senki nem mondta, hogy neked a hatóság felé azonnal eredményt kell adnod. Ha ez 1 hétig tart, akkor 1 hétig tart. Ha GDPR törlés miatt az adott adat törlődött, akkor nem fogsz tudni a hatóságnak erről információt adni, és így jártak. De ezért van a compliance szakértő, hogy ezeket szépen elmagyarázza. A GDPR előtti archívokat pedig ugyanúgy végig kellett volna nézni, átírni, titkosítani, stb. Ne csináljunk úgy, mintha ez egy új dolog lenne, a GDPR már 2016 óta életbe lépett, volt idő felkészülni. Innentől kezdve pedig az egy üzleti döntés, hogy bevállaljátok-e a 20 millió euró vagy teljes bevétel 4%-a felső plafonnyi büntetést.