GDPR megfelelés KKV-knak

2018-01-26
ProMan Consulting
Mit tehetünk KKV-ként a GDPR-al kapcsolatos bírságok elkerüléséért?
Mi az a GDPR rendelet?

2018. május 25-én egy európai adatvédelmi jogszabály lép hatályba, amely globális szinten új mércét állít fel a személyes adatok, a biztonság és a megfelelőség tekintetében. Az általános adatvédelmi rendelet – GDPR – lényege a természetes személyek adatainak védelme és adatvédelmének lehetővé tétele. A rendelet nem határoz meg konkrét intézkedéseket, csak elvárásokat támaszt, ezért egyedileg kell vizsgálni az adatkezelést és meghatározni a szükséges reakciókat a szervezet részéről.

Kit érint a rendelet?

Sokan azt gondolhatják, hogy a GDPR rendelet a nagy- és multinacionális cégeket célozza elsődlegesen, ez azonban nem így van, mivel az minden olyan vállalkozást érint, amely munkavállalók, vagy ügyfelek személyes adatait kezeli akár elektronikusan, akár papír alapon. Személyes adatnak minősül a megszokott azonosítókon kívül minden, ami alkalmas lehet valakinek a beazonosítására. A fentiek tükrében ez szinte minden szervezetet érint, a várható büntetések pedig akár az éves forgalom 2-4%-át is elérhetik.

Néhány példa személyes adatra:

  • Név, lakcím,
  • E-mail cím és telefonszámok,
  • Fényképek, ujjlenyomatok,
  • Pénzügyi és banki adatok,
  • Egészségügyi adatok,
  • IP címek, és helymeghatározási adatok
Mi a teendő KKV-ként, hogy megfeleljünk a rendeletnek?

Alapesetben a feladat méretének, komplexitásának felmérésére az alábbi kérdések megválaszolását javasoljuk:

  • Van üzleti kapcsolat magánszemélyekkel, használnak-e webáruházat?
  • Kezelnek személyes adatokat más cég megbízásából, esetleg adnak át személyes adatot más cégnek?
  • Használnak beléptető rendszert, biometrikus azonosítást, kamerás megfigyelő rendszert?
  • Működtetnek információbiztonsági rendszert (pl. ISO 27001)?
  • Van kockázatkezelési, változáskezelési eljárásuk?
  • Van alvállalkozó kezelési eljárásuk, szerződés sablonjuk?
  • Van magatartási kódexük, irányelvük?
  • Van panaszkezelési és incidenskezelése eljárásuk?
  • Van iratkezelési szabályzatuk?
  • Van HR belépési/kilépési szabályzatuk?
  • Milyen informatikai szabályzatokkal (pl. mentési, jogosultságkezelési, stb…) rendelkeznek?

A fenti listából jól látszik, hogy a GDPR megfelelés a szervezet tevékenységi körétől, méretétől függően egy komplex feladat is lehet.

Miután felmértük a feladat komplexitását, mi az alábbi akciókat végrehajtását javasoljuk:

  1. Személyes adatok definiálása, melyekkel a szervezet operál
  2. Adatfolyam ábra elkészítése bemenetekkel, folyamatlépésekkel, kimenetekkel és felelősökkel
  3. Jogalap megállapítás (adatkezelő, vagy adatfeldolgozó)
  4. Belső adatvédelmi hatásvizsgálat megvalósítása
  5. Adatvédelmi keretszabályzat és kapcsolódó eljárások elkészítése, módosítása
  6. Amennyiben szükséges, adatvédelmi tisztviselő kijelölése
  7. Érintett rendszerek fejlesztése
  8. Munkatársak belső oktatása

Az első négy pontban az általunk ajánlott, nyílt programként is meghirdetett workshop segíthet, mivel ott a résztvevőkkel közösen egy képzeletbeli vállalkozás adatfolyam ábráját és adatvédelmi hatásvizsgálatát is elvégezzük.

A keretszabályzatok és eljárások elkészítését tanácsadási szolgáltatásaink, vagy csoportos felkészítésünk keretein belül tudjuk vállalni.

Hogyan valósíthatom meg KKV-ként a fenti feladatokat?

Alapvetően szervezeti mérettől függetlenül két irány áll rendelkezésre: külső szakember, tanácsadó segítségével, vagy saját erőből. Természetesen a nagyvállalatok többsége az feladat komplexitása miatt általában az első megoldást preferálják, ám a KKV-k esetében nem feltétlenül ez a legjobb megoldás.

GDPR KKV
A könnyebb (de drágább) megoldás

Adott tehát a lehetőség, hogy tanácsadói, szakértői közreműködéssel készüljünk fel a rendeletnek való megfelelésre. Ebben az esetben a feladat méretétől függően egy kisebb csapat, vagy egyén segít behatárolni a személyes adatok körét, készíti el a szervezet adatfolyam ábráját, végez adatvédelmi hatásvizsgálatot, ami alapján egy kidolgozott akcióterv szerint készülhetnek el a belső szabályozások, dokumentumok. Egy felkészült szakértő külső szemlélőként képes érdemi javaslatokat tenni a rendszerek fejlesztésére, hiányosságainak kiküszöbölésére is. Azok a szakértők, akik end-to-end megoldásokat kínálnak, rendszeres auditok segítségével akár üzemeltetni is képesek a folyamatot, illetve ha a szervezet tevékenységéből fakadóan szükséges, akár megbízási alapon az adatvédelmi tisztviselő szerepet is betöltheti. Ennek a megoldásnak előnye, hogy a szervezet számára ez kevesebb munkával jár, illetve hogy nagyobb a siker valószínűsége, ám nem elhanyagolható szempont, hogy jó eséllyel ez a drágább megoldás.

Megfelelés önerőből

Logikus kérdés lehet a kis- és középvállalkozások részéről, hogy ez mind szép és jó, de mi van akkor ha nincs forrásunk külső szakértő bevonására? Nos, ebben az esetben nincs más megoldás, mint önerőből felkészülni a GDPR rendeletre. Ahhoz, hogy ezt megtegyük, szükségünk lesz olyan kollégákra, akik:

  • ismerik a szervezet működését,
  • folyamatszervezési kompetenciával rendelkeznek,
  • értik az informatikai támogató eszközök működését
  • megfelelő jogi háttérismeretekkel rendelkeznek.

Amennyiben tehát a szervezet egy keresztfunkcionális csapatot hoz létre, melynek tagjai képviselni tudják az egyes területeket, folyamatokat, egy vállalati jogásszal és egy jó projektvezetővel kiegészülve képesek lehetnek egy sikeres megoldás kialakítására. Természetesen kisvállalkozások esetén ez nem minden esetben megoldható, ilyenkor a felsővezető, ügyvezető, tulajdonos feladata lehet e csapat kiváltása. Véleményünk szerint jogi támogatásra ebben az esetben is szükség lehet, így amennyiben nincs, vagy nem elérhető vállalati jogász, úgy ezt külső forrásból kell biztosítani. A külső jogászok közreműködése jellemzően nem olcsó, ám tapasztalataink szerint a külső tanácsadó, szakértő bevonásánál még mindig kedvezőbb áron érhető el. Természetesen ilyen esetben érdemes végiggondolni, hogy a csapat, vagy vezető részéről ez mennyi munkát igényel, mennyi időt vesz el ez a napi, operatív feladatokból is, hiszen ez is közvetve költséget jelent a szervezet számára. Jellemzően az előkészületek idő- és költségigényét komoly mértékben képes csökkenteni egy jó, gyakorlatorientált oktatás, vagy workshop, mely segítségével azonosíthatjuk az előttünk álló feladatokat, valamint jó, sok esetben azonnal bevezethető gyakorlatokat ismerhetünk meg. Egy ilyen programmal a külső szakértői, jogi közreműködés költségeit is minimalizálhatjuk.