A tapasztalataim szerint a vállalati vezetők számára a GDPR egy olyan jogszabály, ami azért van, hogy szabotálja a vállalatok működését, összezavarja őket, féljenek, félelemből hibázzanak, belső káoszt és konfliktusokat okozzanak, végül pedig olyan közellenségnek kiáltsák ki, ami kényelmessé teszi és validálja a megértés hiányából származó belső ellenállást.

Általános tendenciának látom azt, hogy egy vállalatnak egy vagy több jogász áll a rendelkezésére, lényegében minden témakörre (több, mint 50 szakterület létezik). Az elsődleges igény a szerződésekkel kapcsolatos, esetleg fogyasztóvédelmi kérdések mentén, vagy partneri együttműködések során kialakult jogi viták. Talán kevesebb az egyéb területekre vonatkozó igény.

A tapasztalatom és a megélésem szerint a GDPR megfelelés szerethető, rendszerezhető, és a megfelelés kialakítása könnyű. Természetesen van szükség gyakorlott GDPR szakjogászra, mert az adatvédelmi tisztviselő tudása nem mindig elegendő.

Gyakori GDPR-tévhitek és a valóság

1. „A GDPR csak nagy cégekre vonatkozik” → Valóság: Minden adatkezelőre, akár 1 fős vállalkozás is.

2. „Elég egy sablon tájékoztató” → Valóság: Minden folyamathoz egyedi dokumentáció kell.

3. „Csak digitális adatokat kell védeni” → Valóság: Papíralapú nyilvántartások is vonatkoznak rá.

4. „A bírságok milliós nagyságrendűek” → Valóság: Az arányosság elve érvényesül (kis cégeknél alacsonyabb bírság is lehet).

De miről is szól a GDPR?

A GDPR a személyes adatok védelméről szól, amit mára már mindenki közhely szinten tud emlegetni. A közhely mögött azonban a valódi és alapvető ismerethiány minden feszültség oka:

1.       feszültségpont: egy biztos, hogy kellemetlen helyzet mutat rá, hogy vonatkozik ránk a GDPR (ami helyzetből csak kimászni lehet, de emelt fővel kisétálni biztos nem lehet)
2. feszültségpont: amikor személyes adatok kezelésére kerül a sor, az az első, hogy elfelejtjük, hogy éppen védendő adatokat kezelünk
3. feszültségpont: nem tudjuk, hogy egy személyes adat milyen kategóriába esik, és folyamat szinten rosszul kezeljük
4. feszültségpont: nincs folyamatunk a védendő adatok hozzáféréséhez, és a zárt rendszerben történő áramoltatásához
5. feszültségpont: nem működnek együtt a résztvevők az adatkezelésben, mert nem tudják a saját szerepüket értelmezni a megfelelésben

 

A feszültségpontok egyik lehetséges oka az, hogy az általános személyes adatainkat mi magunk is megadjuk bárhol bárkinek, ha szükséges (pl. egy trial alkalmazás letöltésekor, ha kupont, vagy kedvezményt szeretnénk valahol, ha közvélemény kutatáson veszünk részt, ha regisztrálunk egy szinte bármilyen felületen, ha olyan helyre megyünk, ahol elkérik az adatainkat, vagy ha vásárolunk egy weboldalon, és még sorolhatnám). Tehát egyik oldalról ott van a személyes adatok védelme (vállalati környezetben gyakorolt nyomás), a másikon pedig a rutinból való megosztás (privát életben, ha kérik). Sokan vannak azok, akiknek a személyes adataival visszaélnek, de bőven többen vannak azok, akikkel még nem fordult elő ilyen, vagyis a kockázatalapú megközelítés inkább a tapasztaltak privilégiuma. 

Tehát ennek a disszonanciának, valamint az alapvető szakmai terminológia ismeretének a hiánya következtében el tudunk siklani a személyes adat és a GDPR követelmények összefüggésén. (Haha…)

De mit akar a GDPR a valóságban?

A GDPR mindösszesen pár releváns kérdés körül mozog akkor, amikor személyes adatokról és azok kezeléséről beszélgetünk:

1. Az adatkezelés célja – mely vállalati cél és a hozzárendelt funkció vagy folyamat indokolja a személyes adatokkal történő munkavégzést = adatkezelést
2. Az adatkezelés jogalapja – a jogszabály jogalapokat kínál fel. Ha a listában nincs megfelelő jogalap, akkor jön az érdekmérlegelés (dokumentált tevékenység), mint jogalap
3. Milyen érintetti körre vonatkozik az adatkezelés – vagyis kiknek a személyes adatait tároljuk. Itt meg lehet adni csoportokat is (pl. regisztrált ügyfelek, beszerzés területen dolgozó munkatársak)
4. Milyen személyes adatokra vonatkozik az adatkezelés – ezt hívják még adatkörnek, amikor is tételesen meg kell nevezni a személyes adatokat (pl. keresztnév, emailcím, egyéb)
5. Az adatkezelés időtartama – meddig kezeljük az adatokat, vagyis az esetleges kárkockázat meddig áll fenn
6. A címzettek kategóriái – vagyis arra keresi a választ, hogy kik férhetnek hozzá az adatokhoz
7. Az alkalmazott adatbiztonsági intézkedések általános leírása – a preventív szabályozásokra és az alkalmazott megoldásokra kíváncsi. Nem lista kell, hanem egy szabályzat.

Ezen kívül további kérdések:

• Hol (lokálisan és informatikai értelemben is) tároljuk az adatokat (és milyen biztonsági intézkedések mellett)?
• Hogyan töröljük (milyen automatizmusokkal, vagy felügyelt manuális megoldásokkal) az adatokat?

A kérdések mentén könnyen belátható az, hogy a GDPR annyira nem bonyolult történet és relatíve szűk keresztmetszetben érthető is. Az is jól látható, hogy lehet feltenni folyamatokat, és egy rendszert lehet kialakítani a kérdéseket alapué véve. Folyamatszemlélet megközelítésben a a Ki/kiknek?, Mikor/Meddig? Hogyan? Miért? Hol?, Mit?, vagyis az 5W1H módszer menténe keresi a válaszokat 

Az adatokkal való visszaélés szintén egy népszerű kifejezés, viszont annak, aki megélte, jelentéssel is bír. A szerencsés többségnek csak hírekből, másoktól hallgatva van valami fogalma arról, hogy milyen károkat okozhat az, ha illetéktelen kezekbe kerül személyes adatunk.

A GDPR ismeretének és megértésének a hiányából gyakran adódik az, hogy ha szembe kerülünk egy GDPR-t érintő helyezettel, a kiragadott helyzettel igénybe vesszük a vállalti jogászt, aki azt az egy helyzetet megoldja nekünk. Azonban ez nem jelent semmilyen megfelelést, csak annyit, hogy van egy adatkezelési típus, folyamat, egyéb, amire van egy megfelelőség. A helyzetenkénti megoldások az eseti és váratlan megjelenései egy bosszantó bizonytalanság érzetet kölcsönöznek a vállalatban.

További hibás, és gyakori hozzállás az, hogy ha valahonnan szereztünk, csináltattunk egy adatkezelési tájékoztatót, akkor úgy tekintünk rá, hogy meg is oldottuk a megfelelést.

Pár gondolat az adatkezelésről és az adatkezelési tájékoztatóról

Az adatkezelési tájékoztató egy olyan kifejezés, amit ajánlatos szó szerint értelmezni, mert kivételesen beszédes. Az adatkelési tájékoztató tehát egy írásban foglalt tájékoztató melyet nem kell semmilyen érintettnek jóváhagynia, csak tudomásul kell vennie. E kettő között is érdemes a különbségeket látni.

Az adatkezelési tájékoztató a valóságban nem más, mint a vállalatban működtetett GDPR rendszer megosztása az érintettekkel, azaz egy kommunikációs eszköze. Tehát józan paraszti ésszel alapvető feltételezés, de jogszabályban deklarált feltétel az, hogy legyenek belső szabályozások és folyamatok az adatkezelésre vonatkozóan.

De kik az érintettek vállalati környezetben? Az érintettek azok, akiknek az adatait kezeli a vállalat. Itt ketté válik a történet, mert egyrészt kezeljük az ügyfeleink, vevőink, együttműködő partnereink, beszállítóink adatait, másrészt kezeljük a munkatársak (saját vagy kölcsönzött) adatait. És igen, az adatok köre (a mely adatokkal dolgozunk), relevánsan elválik egymástól, vagyis a GDPR rendszernek két alrendszerét lehet és ajánlott megkülönböztetni. 

• Az egyik a NAIH, Békéltető testület, hasonlók irányába mutat,
• A másik a Munkatörvénykönyv irányába.

 

Tipikus banánhéjnak látom azt, hogy már az adatkezelés kifejezéssel is megütközünk az által, hogy nem tudjuk betájolni azt, hogy milyen fizikai tevékenységeket kell érteni mögé, amelyeket a napi rutinban alkalmazunk. Kezelés alatt az egyszerű tevékenységekre kell gondolni, mint egy adatbázisban (nyilvántartásban) történő létrehozás, tárolás, (fény)másolás, szkennelés, megosztás, szerkesztés, törlés, tiltás, archiválás, anonimizálás, nyomtatás, migrálás, egyéb.

Általános elképzelés az, hogy az adatkezelés mindig egy vagy több jól elhatárolható folyamat, a vállalati működését célzó folyamatoktól, ami növeli a teher érzetet a vállalat vezetésben. A helyes GDPR értelmezés és alkalmazás az, amikor a folyamatainkban azonosítjuk a személyes adatok jelenlétét és kezelését, és azokra készítjük el a kvázi legalizáló, megengedő szabályozást önmagunk (a vállalat) számára. Gyakori és természetes jelenség az, hogy a vállalat folyamataiban történő adatkezelésre nincs egyértelmű engedély vagy tiltás a jogszabályban, mert a jogszabály nem hivatott tudni minden vállalat minden folyamatát és azokra egyenként rendelkezéseket és szabályokat definiálni. Viszont teret kínál az érdekmérlegelésnek, amihez nagyon erősen ajánlott a szakjogász bevonása, aki az érdekmérlegelésen keresztül segít magyarázni és indokolni az adatkezelés szükségességét. Az érdekmérlegelés szintén egy dokumentált tevékenység, egy alapos vizsgálata annak, hogy az érintettek adatai biztonságos körülmények között vannak kezelve és nem szenved károkat az érintett azzal, ha az adott folyamatban kezeljük az adatait.

Analógiásan összegezve az érintettek nem mások, mint a GDPR, mint rendszer ügyfelei. A biztonságra törekvő adatkezelés pedig maga a termék és szolgáltatás egyben. Ha tehát egy vállalat terméket/szolgáltatást nyújt a vevői számára, akkor a GDPR megfelelés nem más, mint egy kapcsolt áru, ami ráadásul a jogszabályi rendelkezés okán ingyenes és térítésmentes a vevő (az érintett) számára. Ezen a ponton pedig nem kell különbséget tenni a B2B, B2C, vagy belső munkatárs jellegek között.

A szakjogászok szerint (amitől az én lelkem ugrál örömében) az adatkezelési tájékoztatókra érvényes a „minél több annál jobb” elv.