Kezdőlap
Ismét a „GDPR”-ről
Új betűszót tanulhatnak a vállalatvezetők
Legutóbbi számunkban már esett szó az új európai adatvédelmi rendeletről, (General Data Protection Regulation) melynek betűszavát hamarosan minden szervezeti vezetőnek nagyon ajánlatos lesz megtanulnia. A 2018. május 25.-ével alkalmazandó szabályozás nem csak a hazai, hanem az egész Közösség szakmai közvéleményét mozgásban tartja, számos cikk, elemzés jelenik meg részben figyelemfelhívó, részben segítő, felkészítő szándékkal. A francia adatvédelmi hatóság (CNIL) is közzétett honlapján egy összegzést, mely hat lépésben foglalja össze azokat a tennivalókat, melyeket minden érintett felelős vezetőnek érdemes megfontolnia, mi több, végrehajtania. Miután ez egy igen használható sorvezető, cikkünkben mi is áttekintjük ezt a néhány pontot.
1. Lépés – Adatvédelmi vezető kijelölése
A vállalatok és egyéb szervezetek személyesadat kezelését bizonyos kritériumok megléte mellett a rendelet szerint egy önálló „adatvédelmi tisztviselőnek” kell kézben tartania. A francia ajánlás szerint ezt a fajta „karmestert”, aki a szervezeten belül tanácsokat ad a menedzsmentnek, figyelemmel kíséri a jogszabályokat, kapcsolatot tart a felügyeleti hatósággal érdemes már most elkezdeni házon belül keresni, vagy éppen szolgáltató szakmai céggel kapcsolatot felvenni.
2. Lépés – A szervezeten belüli adatkezelések feltérképezése
A hatékony módszer, mellyel a személyi adatok kezelésével összefüggő folyamatokat azonosíthatunk, az önmagunknak feltett kérdésekre adott válaszok. Rögzíteni kell, hogy KI? MILYEN ADATOKAT? MILYEN CÉLBÓL? HOL? MEDDIG és HOGYAN? kezel és tárol, esetleg továbbít. Ez ugyan nem a francia szakhatóság észrevétele, de a tapasztalat azt mutatja, hogy ennek a feladatnak stabil elvégzéséhez hazai viszonylatban kellő rutinnal rendelkező szolgáltató igénybevétele sok nehézségtől kíméli meg a felelős vezetőt.
3. Lépés – Intézkedési terv, prioritási rend
Az eu-s jogszabályi megfeleltetéshez szükséges, hogy a rendszerleíró adatbázis alapjain (2. lépés) egy intézkedési terv készüljön. Fel kell állítani egy rangsort az elvégzendő lépésekre, melynek alapja, hogy az adatalanyokra és jogokra milyen kockázatok jelennek meg. Itt kell megállapítani az adatkezelésekre vonatkozó jogalapokat is. Az adatminimalizálás elvét hangsúlyozza még itt a francia hatóság ajánlása, amit egyébként érdemes komolyabban megfontolni a magyar szervezetek gyakorlatában is.
4. Lépés – Kockázatkezelés, hatástanulmány
Az intézkedési terv csúcsán a magas kockázatú adatkezelések szerepelnek, melyekkel további teendők vannak. Ha bizonyos adatok feldolgozása az érintettek jogaira nézve magas kockázattal jár, akkor előzetes hatásvizsgálattal a szükségesség és arányosság figyelembevételével kell megállapítani a cselekvés irányait. E hatástanulmány teszi lehetővé, hogy az adatkezelő igazolja, a feldolgozás tiszteletben tartja a magánélet védelmét, és érvényesülnek a Rendeletben megszabott követelmények.
5. Lépés – Szervezés, eljárásrendek kialakítása
Az adatkezelőknek ki kell alakítaniuk azokat a belső eljárási rendeket, amelyek a személyes adatok védelme mindenkori biztosításához szükségesek. A szervezeteknek gondoskodniuk kell az alkalmazottaik adatvédelmi oktatásáról, panaszkezelési eljárásrendet kell kimunkálni. Emellett fel kell térképezniük és figyelembe kell venniük minden olyan – nem várt, hátrányos – eseményt, amely az adatkezelés teljes időtartama alatt előfordulhat. Ezek közé tartoznak például az adatvédelmi incidensek, és incidenskezelési eljárások.
6. Lépés – Szabályzatalkotás, dokumentáció
Annak igazolására, hogy a megfeleltetés teljes, meg kell alkotni a szervezet (vállalat) adatvédelmi és adatbiztonsági dokumentációját. Érdemes szabályzatban rögzíteni (a francia ajánlás nem ilyen konkrétan fogalmaz) az eljárásrendet, kidolgozni az alvállalkozók felelősség és szerepkörét, megfogalmazni az érintettek tájékoztatóit.
Nem kétséges, hogy elektronikus kommunikációval súlyosbított, avagy könnyített korunk legnagyobb kihívása személyes adataink illetéktelen felhasználása, pontosabban annak egyre erősödő kockázata, így bizony jogos és fontos a törekvés a maximális védelemre. Ezek a szabályozások az adatkezelő szempontjából legtöbbször felesleges és kellemetlenül bonyolult folyamatokat eredményezhetnek, de amint magánemberként tekintünk rájuk, máris fontos pajzsként látjuk őket. A jog, a szabályok nem védenek meg, csak segítenek eligazodni, a helyes irányt megtalálni a mindennapi élet útvesztőiben.
Száraz Róbert
Sales referens – L Tender-Consulting Kft.