A GDPR, adatvédelem egy szükséges rossz a vállalkozók szemében. Mivel a fogyasztók is egyre tájékozottabbak, így szükségünk van arra, hogy cégvezetőként, digitális szakemberként még jobban rálássunk erre a területre. Vajon a hozzájárulás elég ahhoz, hogy szabályosan kezeld az adatokat? A munkavállalókkal kapcsolatos adatkezeléssel foglalkoztál már? A cikk célja, hogy laikusként is megértsd milyen tényezők szükségesek ahhoz, hogy elkerüld a büntetéseket.
Témánk vendégszerzője dr. Olajos József, adatkezelési szakértő, kiberbiztonsági szakjogász és a https://gdpr24.hu weboldal tulajdonosa.
1. Alakítsd ki szabályokat!
Sorra kell venned a céged (mint adatkezelő) működéséhez kapcsolódó adatkezelési folyamatokat és ezeket szabályoznod kell. Át kell gondolnod, hogy a munkatársak foglalkoztatásához (HR), az értékesítéshez (sales, szerződések), az üzleti kapcsolattartáshoz (CRM, e-mail listák, telefonszámok), a könyveléshez (számlák), a biztonságos raktározáshoz (kamerák, beléptető rendszer), az árud kiszállításához (GPS), a marketinghez (pl. kollégák arcképe a weboldalon vagy a közösségi hálókon, nyeremény-akciók hirdetése), a weboldal működéséhez (…) milyen adatkezelési folyamatok tartoznak, ezen belül kiemelve – mivel a GDPR kifejezetten erre összpontosít – a személyes adatok kezelését.
Milyen szabályokról van szó? Pontosítsd, hogy milyen adatkört kezeltek, ezek honnan erednek, ki-mikor-hogyan férhet hozzá, kinek külditek el (pl. külső könyvelő, külföldi tulajdonos), hogyan és meddig tároljátok (pl. papír, saját szerver, felhő), milyen jogalappal tehetitek meg mindezt (pl. szerződést kötöttetek, jogszabály kötelez rá, az érintett hozzájárult vagy ezt jogos üzleti érdeked diktálja)
2. Tájékoztass!
A GDPR tájékoztatási kötelezettséget ír elő az adatkezelő számára. Ez azt jelenti, hogy a szabályrendszerről, amit összeállítottál, tájékoztató anyagot kell készíteni. Legyen áttekinthető és logikus, fontos, hogy érthetően fogalmazz. Az így összeállított tájékoztatót elérhetővé kell tenned a munkatársaid, ügyfeleid és mindazok számára, akik szeretnének információt kapni a céged adatkezeléséről.
A tájékoztatóban ki kell térni arra is, hogyan oldod meg a cégen belül az adatok biztonságos kezelését, milyen jogai vannak az érintettnek (ezt a GDPR felsorolja) és azt ő hogyan tudja érvényesíteni a cégednél (pl. elérhetőségek megadása mellett röviden jelzed a folyamatot).
A SZAKÉRTŐ JAVASLATA: A jogszerű tájékoztatás valamilyen hiányossága a hatóság által kiszabott büntetések indoklásában állandóan megjelenő elem. Figyelj a részletekre a tájékoztató összeállításánál!
3. Tájékoztasd a kollégákat is!
A tájékoztatást utólag tudnod kell bizonyítani, ezért azt mindig írásban szükséges megtenni. Az adatkezelési tájékoztatót a munkatársaid ismerjék meg és később is legyen számukra elérhető. Erre a legegyszerűbb megoldás, ha a céged weboldalán teszed lehetővé, hogy bármikor elolvashassák. A későbbi bizonyíthatóság érdekében pedig egy rövid – általuk aláírt – nyilatkozattal igazolhatják, hogy megkapták a tájékoztatást a személyes adataik céges kezeléséről.
A SZAKÉRTŐ JAVASLATA: írásban kommunikálj a kollégáiddal (is)! Nem tudhatod, később melyikük „felejti el”, hogy kapott információt az adatai kezeléséről.
4. Oktasd a kollégákat!
Tedd meg ezt saját érdekedben, mert a büntetések megelőzésében ők lesznek a legfontosabb segítőid. Azzal, hogy tudják, milyen szabályok szerint kell végezniük a napi munkájukat, lényegesen kisebb eséllyel hibáznak.
Lehet, hogy meglepő, de tény: a tapasztalataink alapján a legnagyobb biztonsági kockázatot „házon belül” kell keresni. Az adatvédelmi incidensek túlnyomó többségének okozója ugyanis az emberi figyelmetlenség vagy mulasztás, melyekért nagyon gyakran a munkavállalókat terheli a felelősség.
5. Bízd szakértőre!
Egy szakértő által elkészített adatkezelési dokumentáció biztosan jogszerű lesz. Ő ebben profi, érdemes megbízni őt a teljes anyag elkészítésével. A jogszabálynak akkor tudsz megfelelni, ha a tájékoztatón túlmenően minden további dokumentációt is el fogsz készíteni. Ebben ott van a valódi nehézség, hogy az egyes adatkezelésekhez további dokumentumok is szükségesek lehetnek: pl. átfogó szabályzat, nyilatkozatok, rövidített tájékoztatók vagy ú.n. Érdekmérlegelési tesztek is. Ezek szakértelmet igényelnek, ne érdemes sem barkácsolással, sem a webről lemásolt anyagokkal megoldani a helyzetet „okosban”.
A SZAKÉRTŐ JAVASLATA: ezekről te is tudod (vagy legalábbis érzed), hogy nem a céged működésére készült és nem szabható rá egyszerű „másolás-beillesztés” technikával. Ahogy az autódat sem a pékhez viszed javítani, ezt is érdemes szakemberre bízni.
6. Vásárolj biztonságot!
Az EU adatvédelmi rendelete, a GDPR, a tájékoztatást nem egyszeri műveletként várja el, hanem mindenkor aktuális, a valós helyzetet bemutató anyagként. Ebből az következik, hogy rendszeresen frissítened kell, követve a céged működésbeli változásait és az esetlege jogszabályváltozásokat is.
De mindannyian tudjuk, hogy a te valódi célod nem a GDPR-dokumentáció elkészítése, hanem a biztonság megszerzése! A jogszerűen elkészített anyag ehhez egy eszköz…
A SZAKÉRTŐ JAVASLATA: bízz meg egy szakértő jogászt az adatkezelésed kialakítására és frissítésére! Számodra biztonságot nyújt, míg te a céged működésére figyelsz. Ezt a nyugalmat ma már egy jelképes éves díjért is meg tudod vásárolni.
7. Ne rúgj öngólt!
„Egyeztetett gyakorisággal, biztonságos csatornán átadjuk az előre megszűrt, tisztított, GDPR-nak megfelelő adatbázist.” Még ma is gyakori az ilyen, félinformációra építő vagy hazug reklám a neten. Jó, ha tudod: a GDPR nem ad lehetőséget személyes adatok értékesítésére, vásárlására, egyszerűen nincs rá jogszerű megoldás! Az ilyen, – többnyire kérdőíves adatgyűjtésen alapuló – listaépítést ugyanis a „hozzájáruláson alapuló adatkezelés” jogalappal készítik. Sajnos anélkül, hogy annak a jogszabály által elvárt minden feltétele adott lenne: előzetes tájékoztatáson alapuló, önkéntes, konkrét cél érdekében és adott ideig felhasználható adatok kezeléséről van szó.
Adatkezelési cél nem lehet az adatok értékesítése (bizonyára nem is az volt a tájékoztatóban, tehát megtévesztették az érintettet), és a marketing megkereséshez való hozzájárulás sem lehet általános („bármelyik cég, bármeddig kereshet”). Nem ismert, hogyan oldják meg a hozzájárulás visszavonásának a lehetőségét, ahogy egyéb olyan jog érvényesítését sem, amit a GDPR kifejezetten előír. Ne rúgj öngólt ezekkel a listákkal!
8. Gyorsan reagálj incidens esetén!
Minden szabály betartása esetén is van esély arra, hogy bekövetkezik egy adatvédelmi incidens. Ekkor 72 órát kapsz arra, hogy felmérd: mi történt, milyen adatokat érint, hány adatot / főt érint, mikor és hogyan történt (…). A hatóság által, a weboldalán közzétett bejelentő nyomtatványon közel száz információt kell átgondolni és egy részüket megadni 72 órán belül, egy bejelentést összeállítva. Az idő visszaszámolása az incidens felfedezésétől indul: nem számít, hogy munkanapon és munkaidőben vagyunk-e, esetleg a főnök szabadságon van és nem elérhető telefonon.
A SZAKÉRTŐ JAVASLATA: legyen a telefonodban a profi informatikusod és az adatvédelmi jogászod száma, akit ilyenkor fel tudsz hívni és segítséget kérhetsz tőlük. Hidd el, szükséged lesz rájuk! Amikor tudod, hogy hatósági bejelentést kell írnod egy olyan eseményről, ami nem csak a cégednek okoz kárt, de még büntetés is fenyegethet miatta, biztosan nem leszel higgadt és nem lesz időd néhány napig arra, hogy szakembert keress, aki azonnal lépni tud a megoldás felé.
9. Az egyik legnagyobb csapda, a megszokás!
„Eddig is így csináltuk, ez így a legegyszerűbb”, „ez egy kis cég, nem tudunk mindenre figyelni”, „összeszokott csapat, rutinos kollégák vagyunk, tudjuk, mit, hogyan kell megoldani”, „ezt így csináljuk, mert így logikus”
Az ilyen, a komfortzónába betonozott adatkezelési folyamatokkal nem lehet megfelelni a GDPR előírásainak. Egy adatkezelést vizsgáló hatósági eljárás esetén az előbbi válaszok értéke pontosan ismert: nulla. Sem a kényelem, sem a megszokás (rutin) nincs jelen érvként az adatvédelmi szabályok között.
10. A hozzájárulás nem JOKER!
Sőt nem is a legjobb módszer (jogalap) az adatok kezeléséhez…
Vannak ugyanis feltételei, amelyeknek együtt kell teljesülni ahhoz, hogy ez a jogalap megfelelő legyen valamelyik adatkezeléshez. Már az elején könnyű elrontani: a hozzájárulás nem lehet automatikus, nem működik a „hallgatás = beleegyezés” szabály. Sőt az sem jogszerű – bár gyakran találkozunk vele mindannyian -, hogy az előre bejelölt webes hozzájárulás oldására van lehetősége az érintett embernek. Ha észreveszi. Ugyanis a jelölést szándékos, egyértelmű, pozitív akaratnyilvánításként kell kapni ahhoz, hogy utána azt nyugtázni (tárolni, használni) tudjuk a cégünk érdekeinek megfelelően. A tájékoztatás is gond tud lenni, hiszen azt előzetesen, könnyen értelmezhető, logikus és egyszerű módon kell megtenni, utólag bizonyíthatóan. Erre nem alkalmas egy soros szöveg valamilyen lap alján.
Ahogy az sem igaz, hogy „ha hozzájárult az adatkezeléshez, akkor szabad a pálya az adataival”. Egy hozzájárulás egy cél megvalósítását segíti: nem összevonható, nem végleges, nem lehet szerződéskötés érdekében (mert ott más a jogalap), nem lehet olyan, amit eleve jogszabály vár el (pl. a gyerek iskolába íratásának nem lehet ez a jogalapja).
Tehát nem JOKER, biztosan nem jó mindenkor és mindenre, amire sikerül aláíratni egy papírt valakivel.
A cikk célja a figyelem felkeltése, nem terjed ki minden részletre és nem tekinthető jogi tanácsadásnak!
Ellenben, ha úgy érzed a cikk segített tisztábban látni az adatkezelési jogszabályok között, esetleg maradtak még kérdéseid, netalántán egy szakértőre van szükséged, akkor keresd fel vendégszerzőnk, dr. Olajos József weboldalát a gdpr24.hu-t. Egyedi szolgáltatása a piacon, hogy éves GDPR-biztonság Bérletet kínál, de itt van néhány másik kedvező ajánlata is, amit szolgáltatásai között találhatsz:
- automatikus frissítés (jogszabályváltozás vagy az adatkezelő tevékenységében történő változás követése)
- ingyenes adatvédelmi konzultáció bármikor (munkaidőben)
- azonnali incidens támogatás telefonon bármikor (munkaidőtől függetlenül)
- 600e – 2.000.000,- büntetésmentességi garancia az adatkezelési anyagainkra
- éves díja jelenleg: 25e vagy 30e Ft
