Az országokon belül mozgó és a határokon átívelő adatmennyiség mára felfoghatatlan méretűvé duzzadt és folyamatosan növekszik. Miközben nap mint nap adunk meg személyes adatokat, hogy információhoz jussunk, eladjunk vagy vásároljunk, hozzáférjünk alkalmazásokhoz, internetes felületekhez, természetes módon féltjük is ezek biztonságát és elvárjuk a megfelelő kezelésüket.
Az Európai Unió valamennyi tagországa rendelkezett enyhébb vagy szigorúbb saját szabályozással. A kétezres években azonban egyre sürgetőbbé vált, hogy a jogalkotók tető alá hozzanak egy közös, egységes rendeletet. Így született meg a GDPR (General Data Protection – Általános Adatvédelmi Rendelet), amelynek kidolgozása már 2012-ben elindult. A jogszabály 2016. májusában jelent meg, a felkészülésre pedig két évet kaptunk, így 2018. május 25-ig kell a hatóságoknak, szervezeteknek, vállalkozásoknak megtenni a szükséges lépéseket.
A mi cégünknél is kell ilyen?
Ha a vállalkozásunkban személyes adatot kezelünk – munkáltatóként a munkavállalóink adatai is ide tartoznak -, online tevékenységet folytatunk, az ügyfeleink adatait használva bármilyen online tranzakciót, akciót, kampányt végzünk, biztosak lehetünk benne, hogy a rendelet minket is érint.
A GDPR az egyén adatainak biztonságára koncentrál. Egész pontosan így fogalmaz: „azonosított és azonosítható természetes személyek adataira”. Személyes adatnak számít tehát minden olyan információ, amely alapján egy adott személy azonosított vagy azonosítható. Ez pedig a néven túl lehet személyi igazolvány szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egyéni jellemző.
Az első etap
Miután egy vállalkozás vezetői megbizonyosodtak arról, hogy a határidő rájuk is vonatkozik, sokan elakadnak a legelső ponton: hogyan is kellene nekiállni. Gyakran előfordul, hogy az első adandó kollégára, az informatikusra, rendszergazdára zúdul a probléma: „A te területedhez tartozik, nézd meg, mit kell csinálni!”
A feladat azonban a vállalkozás több területét is érinti és bár az informatikának kulcsszerepe van a projektben, teljes körű együttműködés szükséges az érintett vezetők, munkatársak részéről. A HR munkaügyi adatokat kezel; a marketing, az értékesítés és a vevőszolgálat ügyféladatokat; a logisztika és a beszerzés a beszállítók adatait – ezek pedig egyben a vállalkozásunk adatbázisai, a GDPR tehát csapatmunkát igényel.
Célszerű egy „Itt állunk most” pillanatképet készíteni a vállalkozás, szervezet tevékenységéről. Az első és legfontosabb kérdés: Milyen adatokat dolgozunk fel, milyen adatokat kezelünk, tárolunk és milyen jogalappal?
Közös kincsünk: Az adat!
A kezelt adatok típusa tevékenységi körönként, szakterületenként nagyon hasonló lehet.
Üzleti szempontból talán a legkritikusabbnak az ügyfélhez kapcsolódó adatokat nevezhetjük. Szolgáltatásaink, termékeink megrendelőiként jogos elvárásuk, hogy garantáljuk számukra az informatikai rendszereinkben, számláinkon, egyéb helyeken tárolt adataik biztonságát.
Ugyanígy fontosak azonban a munkavállalóink adatai. Már a felvételkor fontos tájékoztatni a kollégát, milyen adataikat rögzítjük és mi célból? Milyen módon követjük a munkavégzését? Belenézünk az levelezésükbe? Felvesszük, mit és kivel telefonál? Van olyan terület, ahol kamerakép készülhet róla? Ha az adataikat harmadik félnek kiadjuk például könyvelőnek, bérszámfejtőnek, akkor ezt tudassuk vele! Kölcsönzött munkaerő esetén a szerződött partnerrel igazoltassuk saját GDPR-konform működését!
Kezeljük azonban a szolgáltatási (szállítási) lánchoz csatlakozó valamennyi partnerünk adatait is. Minden partnerre vetítve szükség lesz a kezelt adatok körének felmérésére, a hozzájárulások beszerzésére és mindenek előtt az ezekkel kapcsolatos tájékoztatások megtételére.
A direkt marketinghez érkezve válik talán a legingoványosabbá alattunk a talaj. Mivel sok érzékeny pont lehet benne – vásárói szokások elemzése, profilozás, geolokációs adatok elemzése – rendkívül fontos és jóval több időt igényel az itt feldolgozott adatok felmérése, azonosítása, a megfelelő tájékoztatók kialakítása, illetve a hozzájárulások beszerzése. Sajnos mivel a hallgatás nem tekintendő beleegyezésnek, sok esetben, például hírlevél adatbázisunkból törölnünk is kell adatokat.
Ágazati Hot Spotok
Legyen szó fuvarozásról, csomagszállításról, elektronikus kereskedelemről, támogató rendszerekről, a legféltettebb kincsünk az ügyféladat. Akár cégekről, akár természetes személyekről gondolkodunk, kényes szempont, hogyan dolgozzuk fel, hogyan tároljuk az adataikat.
Az adatkezelés célja és jogalapja további szempontokat vet fel a mérlegelésben.
Speciális szabályok vonatkoznak például a nyomkövetésre, hiszen a helymeghatározás során a munkáját végző dolgozó személyes adatainak egy részét is felhasználjuk. Ezért alapvető, hogy még a munkafolyamatok előtt megfelelő tájékoztatást nyújtsunk számukra: milyen adatokat, mire hivatkozva, milyen céllal kezelünk. Semmi sem történhet a tudtukon kívül. Egy szállítmány követése jogilag is elvárt, de például egy céges gépjármű magánhasználata is felvethet adminisztrációs feladatokat, amelyek szintén előzetes tájékoztatást és beleegyezést igényelnek.
Egy webáruház működtetése, elektronikus kereskedelmi tranzakciók során a pénzügyi információkkal együtt különösen érzékeny, személyes adatok mozognak. A regisztráció során itt fokozottan figyelnünk kell a teljeskörű tájékoztatásra és az ezek tudomásul vételével történő önkéntes hozzájárulásra.
Bármilyen támogató, szupportív szolgáltatást nyújtunk, azt is szükséges feltérképeznünk, hogy az általunk kiszolgált terület tevékenységéhez milyen egyéb területek kapcsolódnak ügyfelünk szervezeténél. Ezeket a területeket egyesével kell megvizsgálnunk: milyen adatok haladnak át a kapcsolódási pontjainkon, vannak-e köztük személyes adatok. Ha igen, ellenőriznünk kell, teljesülnek-e a vonatkozó előírások.
Fontos, hogy ne maradjon hézag és minden oldalról rálássunk a működésünkre, ezért érdemes megfelelő szakértők bevonásával elkészíteni a jelenlegi adatbiztonsági helyzetképünket és meghatározni a következő időszak feladatait.
Rendezzük sorainkat!
Az elszámoltathatóság elve alapján a GDPR az adatkezelők és adatfeldolgozók felelősségévé teszi, hogy bármikor képesek legyenek bizonyítani a rendelet előírásainak való megfelelést.
Ehhez rendszeresen kell ellenőrizni, értékelni és felülvizsgálni az adatkezelési eljárásainkat. A folyamatokba megfelelő biztosítékokat kell beépítenünk és gondoskodnunk kell a munkavállalók képzéséről, hogy tisztában legyenek a rájuk vonatkozó szabályokkal, feladatokkal. Összességében képesnek kell lennünk arra, hogy az adatvédelmi hatóság felé bármikor igazolni tudjuk, hogy megtettük a szükséges lépéseket.
Érdemes mindent dokumentálni, ami az előzetes felmérésnél az adatvédelmi feladatlistánkra került. Ha hosszabb távú tevékenység esetén még csak az út felénél járunk, akkor is fontos az eddig megtett lépések adminisztrálása.
A sajtóban napi szinten szembejövő adatvesztési, adatlopási botrányok fényében a téma igencsak aktuális. Közel a határidő és a hiányosságokért a hatóság jelentős bírságokat helyezett kilátásba. Kellő tudatossággal és odafigyeléssel azonban komoly fájdalomtól óvhatjuk meg a cégünket. A megelőző intézkedések nem csupán az ellenőrzésnek szólnak. Olyan kellemetlenségektől is megvédhetjük a vállalkozásunkat, mint az ügyfélpanasz, munkaügyi per, vagy adatvédelmi incidens.
Forrás: p2m Consulting
