Ha nem a törvény kényszere, akkor az előírt, igencsak jelentős bírság (20 millió euró vagy a globális árbevétel 4 százaléka) miatt érdemes átvizsgálni, mennyire GDPR-kompatibilis a cégünk. A pénzügyi veszteség mellett az ügyfelek elvándorlása jelenti a legnagyobb kockázatot, hiszen a személyes adatokat lazán kezelő cégtől a vevők elpártolnak – a konkurenciához.

Első lépésként határozzuk meg a GDPR-ban tárgyalt szerepköröket! Legyen világos, kinek az adatait gyűjtjük, illetve ki ellenőrzi és dolgozza fel azokat. A GDPR világosan meghatározza a szerepköröket (ebben mellékelt táblázatunk is segítséget nyújt). Azt is fontos leszögezni, mi minősül személyes adatnak. Például önmagában a 2000-es szám még nem jelent semmit, de névvel, bankszámlaszámmal, címmel kiegészítve már személyes adattá válik. Általános szabályként elmondható, hogy minden személyes adat, ami egy személy azonosítására alkalmas.

Az alábbiakban összeszedtük a 10 legfontosabb kérdést és választ a GDPR-ral kapcsolatban.

1. Ki a felelős azért, hogy megfeleljünk?

A vállalat (folyamat) tulajdonosa felelős az előírások betartásáért. Nem lehet egyszerűen végigmenni az egyes paragrafusokon, a közös felelősségvállalás kereteit kell meghatározni. Ennek érdekében folyamatgazdákat kell kinevezni, akik kockázatalapú döntéseket hoznak. Felelősségi körük részeként az adatvédelmi megközelítést oktatással adhatják át a többieknek.

A vállalat adatvédelmi biztosa segít a teljes terv elkészítésében, de nem vonható felelősségre annak végrehajtásáért. A biztonsági és a kockázatkezelő vezetők adatvédelmi és üzletvezetési kockázatok elemzésével javaslatokat adnak a vállalati folyamatok vezetőinek, akik eldöntik, melyik út járható számukra.

 

2. Hogyan határozzuk meg a jogalapot és az adatfeldolgozás célját?

Forduljunk szakosodott ügyvédi irodához a ránk vonatkozó konkrét jogi alapok meghatározásakor! Az adat birtokosának a hozzájárulása szükséges adatai felhasználásához, ezt szerződésben rögzítsük! A folyamattulajdonosok határozzák meg az adatfeldolgozás célját, ugyanakkor ők találják ki és magyarázzák meg a személyes adatok feldolgozásának okait. Az adatokra azért lehet szükség, hogy szerződést köthessenek az adott egyénnel, megfeleljenek a törvények előírásainak, javítsák a szolgáltatás minőségét vagy kezeljék a panaszokat.

3. Milyen személyes adatot dolgozhatunk fel?

Megfelelő ellenőrzéssel, szinte bármilyen adat feldolgozható. A szervezetnek először meg kell határoznia a jogi alapot az adatok feldolgozásához, dokumentálnia kell a feldolgozás céljait. A célok ismeretében a vállalat meghatározza, hogy mely személyes adatokat kell feldolgozni. Az adatminimalizálás elve szerint azokat az adatokat törölni kell, melyeket nincs okunk feldolgozni. Például egy autókereskedő részletre értékesít egy autót. A vásárló személyes adatai feldolgozásának célja, hogy a kereskedő megkapja a havi részleteket. A jogi alapja a vásárlóval kötött szerződés, az ehhez szükséges adatok közé tartozik például a vásárló neve, a fizetési konstrukció vagy a bankszámla adatai. A vásárló családi állapotára vagy egészségére vonatkozó adatok elkérése szükségtelen.

Az adatokat csak addig őrizhetjük meg, míg a kitűzött cél meg nem valósul. Törekedjünk arra, hogy csak a szükséges ideig tartsuk meg az adatokat! A fenti példánál maradva, az ügyfélszolgálatos munkatárs a fizetési konstrukció befejezése után meghatározott ideig még hozzáférhet az adatokhoz, hogy az esetleges ügyfélmegkeresést ki tudja szolgálni. Ezután a hozzáférését meg kell szüntetni, a tranzakcióra vonatkozó adatokat azonban még nem kell törölni, hiszen az adóügyi szabályozások több éves adatmegőrzést írhatnak elő. 

4. Fel kell készülni arra, hogy az adatbirtokosok élnek a jogaikkal?

Igen, persze. A GDPR egy sor joggal ruházza fel az adatok birtokosait, ezek egy része több létező szabályozás része (a GDPR 12–23-as paragrafusa foglalkozik az adatbirtokosok jogaival). A felejtés joga azt jelenti, hogy az üzleti céljaink megvalósulása után törölnünk kell a személyes adatokat. Az autóvásárlás esetében például alapos jogunk van az adatokat megőrizni mindaddig, amíg be nem érkezik az utolsó részlet – és ha nincs reklamáció, még egy rövid ideig a fizetés befejezése után. Ha a törvény nem ír elő kötelező archiválási időszakot a tranzakciókra, akkor töröljük őket – nemcsak a valós, éles rendszerből, hanem a biztonsági mentésekből is.

Az adathordozhatósághoz való jogot egy önkiszolgáló weboldal felállításával lehet biztosítani. Segítségével több más jogot is kipipálhat a vállalat: az adatok kiegészítéséhez, javításához való jogot, illetve annak a jogát, hogy az ügyfél láthassa, milyen személyes adatát dolgozzák fel. Ugyanezt az online platformot használhatjuk ügyfeleink értesítésére, a működési átlátszóság biztosítására. Csak ott érdemes egy ilyen oldallal foglalkozni, ahol sok hasonló megkeresés várható, amelynél a manuális folyamat már nem lenne kifizetődő.

A 22-es paragrafus érdekes jogot biztosít az adat birtokosának: joga van ahhoz, hogy ne pusztán egy automata rendszer döntsön róla. Ez a jog a webes oldalakon megjelenő, személyre szabott hirdetésekkel kapcsolatos elemzésekre valószínűleg nem lesz nagy hatással, viszont az álláshirdetésekre való jelentkezéskor, banki kölcsön biztosításakor óvatosságot javasolnak a Gartner elemzői.

5. Az adatfeldolgozás engedélyezésére van valamilyen különleges szabály?

Igen. A szabályozás eléggé részletesen tárgyalja, hogy az adat birtokosa hogyan egyezhet bele adatainak a feldolgozásába. Fontos, hogy szabadon kell megadnia hozzájárulását. Problémás terület az alkalmazott–alkalmazó viszony, ahol a munkavállaló fél állása elvesztéstől, és kényszerből egyezik bele adatai feldolgozásába.

A hozzájárulásnak egyértelműnek kell lennie; az adatbirtokosnak kell cselekednie, hogy meglegyen a hozzájárulás, emiatt például az előre kipipált négyzetek használata nem javasolt. Minden adatfelhasználási célhoz külön hozzá kell járulni, ha több ilyen cél van, akkor minden esetben külön kell a hozzájárulást megszerezni. Meg kell adni az adatellenőrző személyét, ismertetni kell az adatfeldolgozási célokat is. Az adatellenőrző felelőssége bizonyítani, hogy a hozzájárulás megszületett, így nemcsak a hozzájárulást, hanem annak születési körülményeit is tároljuk.

6. Mit tartalmazzon a jogi közlemény?

A jogi közlemény érthető nyelven megfogalmazott, rövid írás, amelynek a következőket kell tartalmaznia: az adatellenőrző bemutatása (kik vagyunk); a feldolgozott személyes adatok ismertetése; az adatfeldolgozás céljainak ismertetése; az adatmegőrzés időszakának leírása; az adatfeldolgozók ismertetése; kit lehet felkeresni kérdés, panasz, jogok gyakorlása esetén.

 

7. Nálunk is kell adatvédelmi biztosnak lennie?

A GDPR szerint az adatvédelmi biztos nemcsak az adatok biztonságáért felelős, hanem az adatvédelmi előírások kidolgozása és gyakorlatba ültetése is a feladatai közé tartozik. Közintézménynek, személyes adatokat rendszeresen feldolgozó szervezeteknek kötelező adatvédelmi felelőst kinevezni.

8. Minden érintett ország adatvédelmi hivatalával fel kell venni a kapcsolatot?

Több országban működő vállalat esetén szerencsére nem kell minden egyes ország adatvédelmi hivatalával kapcsolatba lépni. A GDPR szerint az anyaországi adatvédelmi hivatallal kell a kapcsolatot tartani, amely majd értesíti a többi ország hivatalát.

9. Adatszivárgás esetén biztos a büntetés?

Nem szükségszerűen. Teljes, 100 százalékos biztonság nem létezik. A vállalatoknál nem az a kérdés, hogy lesz-e adatszivárgás, hanem az, hogy mikor. A vállalatok felelőssége a megelőző, detektáló megoldások felállítása. Adatszivárgás esetén viszont kiderül, hogy a vállalat minden tőle elvárhatót megtett-e a személyes adatok védelmében vagy sem. A biztonsági incidenseket 72 órán belül kell jelenteni a hatóságoknak, és jelentős következmények esetén az adattulajdonosoknak is szólni kell. Az incidenst követő vizsgálat vagy az értesítés hiánya jelezheti, hogy nem felelünk meg a GDPR előírásainak, ez maga után vonhatja a büntetést is.

A Gartner javaslata szerint a vállalat vezetői a biztonsági szakemberekkel együtt dolgozzanak ki egy adatszivárgási vészforgatókönyvet az incidensek kezelésére, amelyből kiderül, hogy milyen adatok érintettek; kiről szól az adat; az adatszivárgás károsítja-e az adatok birtokosait; hogyan történt az adatszivárgás; kit és hogyan kell értesíteni.

10. Ki tud segíteni a GDPR szerinti adatvédelem megvalósításában?

Nem tudunk olyan megoldásszállítóról, aki teljes körűen tudna segíteni a vállalatoknak. A kockázatelemzők, IT-biztonsági szakértők és adatvédelmi biztos a vállalatvezetőkkel közösen mérje fel, hogy a vállalatnak milyen feladatokat kell ellátnia a GDPR szerint, majd nézzék meg, milyen megoldások működnek náluk. Ezek után tudják eldönteni, szüksége van-e a vállalatnak további IT-biztonsági, adatvédelmi, netán kockázatkezelési rendszerre.