Ahhoz, hogy a GDPR rendszer szinten védje a vállalatot, ne hátráltassa a napi rutint sem a stratégiai szintű célokat, illetve ne okozzon belső feszültséget sem egyén, sem csapat szinten, érdemes az ISO által begyakorolt rendszer struktúrát követni. Ha egy vállalat képes és hajlandó erőforrást allokálni erre a fajta tudatosságra, akkor a rendszer működtetése tanítja az egyéneket, ami által egyrészt a saját adataik kezelésével is tudatosabbá válnak, valamint a megértés által a feszültségek is feloldódnak.

De nézzük meg, mit is jelent rendszerben kezelni a GDPR-t

1. A jogszabály úgy van felépítve, hogy legyen egy felelőse a GDPR-nak, ha lehet a szervezeti struktúrában egy kiemelt pozícióban.

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy legyen a benne foglalt rendszernek egy tulajdonosa kiemelt pozícióban. Ha a vállalat allokál erre figyelmet és erőforrást, akkor az a vezetői elköteleződést és a támogatásra irányuló szándékot is jelzi, tehát két kritikus pont már le is van fedve.

Indoklás: a rendszerek túlnyomó többsége a teljes vállalatra kiterjedő hatókörrel bír (folyamatokra, más rendszerekre, a munkatársakra, beleértve a vezetőket is, valamint a közvetlen környezetre, mint partnerek, beszállítók, vevők, társ vállalatok, egyéb).

2. Legyenek dokumentált belső szabályozások (amibe értendők a formanyomtatványok, érdekmérlegelési tesztek, ha kell hatásvizsgálatok), és mindez mindenki számára elérhető belső nyilvános helyen

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy legyen a vállalati működés dokumentáltan szabályozva, ráadásul rendszerezett módon. Ha ezek a feltételek teljesülnek, a dokumentált folyamatok és maga a dokumentációs rendszer követelmények teljesülnek.

Indoklás: A szabályozásokkal gyakorlatilag a vállalat profiljára állítjuk be a GDPR jogszabályt, vagyis a dokumentált szabályozás annak a lehetősége, hogy átvegyük a félelmek és feszültségek fölött az uralmat. A szabályozások részeiben és együttesen is kiadják azt a használati útmutatót, amihez bármikor bárki hozzá tud férni és a kérdéseire választ tud kapni. Vagyis a szabályozásokkal tesszük tartóssá és tartjuk egyben a vállalatot magát, lefüggetlenítve a humán fluktuációtól.

3. Tanuljuk meg a terminológiát. Számomra elsődleges a kifejezések mögötti jelentések megértése, mert a tevékenységek megértéséhez megadja a megfelelő alapot

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy a vállalatra jellemző (még ha külsős forrásból is származik), a tevékenységeihez köthető szakkifejezések és meghatározások legyenek egyértelműek és tiszták fogalom, és jelentés tekintetében.

Indoklás: A rendszerben történő együttműködés minimum követelménye a közös nyelv kialakítása, illetve az, hogy az új és specifikus nyelvezet által a jogszabályi követelményeket és/vagy a belső szabályozásokat a mindennapi rutin folyamatokban is azonosítani és érteni tudjuk.

4. Illesszük be a GDPR követelményeket a vállalat standardizált folyamataiba (pl. HR esetében jogosultságokkal lehatárolt ticketing alkalmazással és néhány emberi hibát kiküszöbölő automatizmussal)

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy a követelményeket érvényesíteni kell tudni a folyamatok szintjén. Vagyis a vállalati folyamatokat érdemes a megfelelőség irányába fejleszteni. A fejlesztések teret nyitnak a hatékonyságnövelésre is. Ezzel pedig lefedjük a működés (amiben a monitoring is beleértendő) szabályozást, a kockázat alapú gondolkodást, valamint érintjük a nemmegfelelőség kezelést

Indoklás: Visszacsatolva a 2. pontra, ekkor a valóságban az adott vállalati folyamataiba illesztettük be a GDPR-t és ami nagyon fontos, hogy nem fordítva. Lényegében ezzel húztuk ki a GDPR méregfogát, és tettük a mindennapos rutin részévé.

5. Tartsunk a témában oktatásokat, mert bár az adatkezelési tájékoztatók egy fajta ismeret és tudás megosztásnak számítanak, a valóságban a nyelvezetének és az okának a megértését az oktatás tudja elősegíteni a leghatékonyabban

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy a rendszerrel kapcsolatos valamennyi megnyilvánulás (a már említett témák ebben a listában) legyen ismertek a munkatársak számára. Itt hangsúlyos az, hogy a rendszerek működéséért a vezetők egy emberként felelnek, ezért a tudás alól ők sem kivételnek. Ha az oktatás mindenki számára szisztematikus begyakorolt folyamat, akkor eleget teszünk a felkészültség, tudatosság és kommunikáció követelményeinek.

Indoklás: A rendszerek alapértelmezetten vállalati érték növelést eredményeznek, melyek a vállalati tudás és magkompentencia halmazba is értendők. A működés folytonosság és az átörökítésük alapvető bázis szükséglet magához a létezés folytonossághoz. Az átörökíts során gyakorlatilag túllendülünk a fluktuáció adta változásokon, mint egy fajta változásmenedzsment eszközként.

6. Alkalmazzuk, monitorozzuk és fejlesszük a rendszert. Ideértendők az alarm megoldások, értesítési láncok és a probléma megoldásra adott válasz mechanizmusok is

Analógiásan: valamennyi ISO szabvány követelmény rendelkezik arról, hogy a dokumentált, standardizált folyamatok (együttesen a rendszert) működése állandó legyen, de kezelje a változásokat, az egyéb területekről érkező új igényeket, maradjon optimális (intelligens módon költséghatékony) az erőforrás a működtetésen. Ha tehát figyelemmel kísérjük a működést, akkor lefedjük a teljesítmény értékelés, a fejlesztés, valamint a nemmegfelelőség kezelés követelményeket.

Indoklás: Egyértelmű 🙂

Gyakorlati lépések a GDPR-ISO integrációhoz

1. Rendszertulajdonos kinevezése → Legyen egy dedikált felelős (pl. Adatvédelmi tisztviselő + Minőségirányítási vezető együttműködése).

2. Dokumentációs rendszer kialakítása → Használd az ISO sablonokat a GDPR szabályzatokhoz (pl. „Adatkezelési nyilvántartás ISO formátumban”).

3. Folyamatokba ágyazás → Illeszd be a GDPR követelményeket a meglévő ISO folyamataidba (pl. beszerzés, HR, IT).

4. Oktatás és tudatosság → Tartalmazz GDPR modulokat az ISO képzéseken.

5. Monitorozás és fejlesztés → Végy fel GDPR mutatókat az ISO belső auditokba.

Összegezve

A GDPR rendszert nem lehet egyik pillanatról a másikra elkészíteni és bevezetni, mint a legtöbb ISO rendszert, mert a vállalat fő tevékenységéhez nem köthető minőségjavító megfelelésről van szó, illetve a bevezetőben már taglalt averziók komolyan hátráltatják a rendszer kialakítást. Az adatkezelése megértésének a hiánya akadályozza azon vállalati folyamatok azonosítását, ahol a GDPR követelményeknek teljesülni kell.