Most már tudjuk, milyen fontos a GDPR, és azzal is tisztában vagyunk, hogy egy hónapon belül életbe lép a rendelet. Ezért most konkrét dolgokról faggattuk Dr. Várady Endrét: mi az, amit tenni tudunk?
MM: Egy cég általában rengeteg személyes adatot halmoz fel. Hátha még jó lesz valamire… Hogyan tegyünk rendet az adatok között?
VE: A személyes adatokat két nagy csoportra oszthatjuk. Vannak strukturált adatok, és strukturálatlanok. Strukturált adatokról beszélünk, amikor az adatok egységes nyilvántartásban, rendezetten szerepelnek a nyilvántartási rendszerben (pl. CRM rendszerben). Ez a jobbik eset, hiszen ekkor csak a „szekrényünkben” kell rendet tenni. A rendrakásnál különösen két elvre kell figyelni: egyik az adatminimalizálás elve, például ha e-mailben küldünk ki egy hírlevelet, ne gyűjtsük be feleslegesen a címzett telefonszámát is. A másik elv a korlátozott tárolhatóság elve, mely például arra vonatkozik, hogy minden olyan adatot töröljünk a CRM rendszerből, amit már nem használunk. Az igazi veszélyt a strukturálatlan adatok jelentik, hiszen ebben az esetben az adatok szétszórva jelentkeznek a legkülönfélébb dokumentumokban, e-mailekben, Excel táblázatban… Ezek a kósza, cél nélküli adatok többszörös adatvédelmi kockázatot jelentenek. Talán az első dolog, amit tehetünk, hogy feltérképezzük az adatállományunkat, a legrejtettebb adatokat is, és törlünk minden olyan adatot, amelyeket valójában cél nélkül őrizgetünk.
MM: Rendben, megvannak az adatok, de ezeket gondolom kezelni is kell.
VE: Az nagyon kevés még, ha csak ott vannak pőrén a személyes adatok. Pontosan dokumentálni kell az adatkezelési folyamatokat, le kell írni az adat történetét, jelenét és jövőjét. Hogy miért, milyen célból gyűjtöttük az adatokat, meddig tároljuk őket, ki tud hozzájuk férni… Ahogy az előző részben említettem, az adatvédelem a cégeknél olyan fontos lesz, mint most a könyvelés, sőt! Nem csak dokumentálni kell az adatokat, hanem a jogszabálynak megfelelően kezelni is kell őket, ezzel jogszerűvé téve a folyamatokat.
MM: Ezentúl tehát mindent nagyon alaposan végig kell majd gondolnunk.
VE: Így van. Minden adatkezelési folyamattal külön foglalkozni kell. Az eddig használt, jelenlegi adatkezelési folyamatokat meg kell vizsgálni GDPR szempontból, fel kell tárni a hiányosságokat, majd javaslatokat kell készíteni a jelenlegi folyamat javítására. Az új adatkezelési folyamatokat pedig meg kell tervezni, meg kell valósítani és meg kell vizsgálni, hogy mennyire hatékony. És mindezt dokumentálni kell. Például ha egy vállalat új adatbázisszoftvert szeretne bevezetni, a megvalósítás előtt tisztáznia kell a potenciális adatvédelmi kérdéseket. Végezetül ki kell dolgozni a szükséges dokumentumokat, úgymint a különböző szabályzatokat, belső adatkezelési nyilvántartást, adatfeldolgozási megállapodásokat és a dokumentációt az elvégzett hatásvizsgálatról.
MM: Ez rengeteg munkának tűnik, ki az, aki ezt a cégeknél végezni fogja?
VE: A legtöbb cégnél először is szükség van arra, hogy felmérjék a hiányosságokat és az adatvédelmi kockázatokat. Ezzel érdemes szakembert megbízni, adatvédelmi szakértőt, vagy egy jogi irodát. Aztán rendet kell csinálni. Érdemes lesz a cégeknek ugyanakkor belső adatvédelmi szakembert is alkalmazniuk, hiszen a GDPR-nak való megfelelés nem egyszeri dolog, hanem egy folyamatos PDCA ciklus (plan, do, check and act – tervezés, cselekvés, ellenőrzés és beavatkozás). Különösen nagyobb szervezetekben elengedhetetlen lesz, hogy a különböző osztályokban (HR, marketing stb.) világosan lássák a mezsgyét a jogszerű és jogszerűtlen adatkezelés között. Egyes cégeknél egy adatvédelmi tisztviselőt is ki kell majd nevezni.
MM: Gondolom az is lényeges, hogy a személyes adatokhoz ezentúl minél kevesebben férjenek hozzá.
VE: Ahogyan csak olyan adatokra van szükség, amelyekre tényleg szükség van, úgy az adatokhoz is csak azoknak szabad hozzáférnie, akiknek tényleg szükségük van rá. Például a marketing osztály nem férhet hozzá olyan adatokhoz, amelyeket kizárólag a munkaerő-felvételi csapatnak kell feldolgoznia. A vállalkozások számára ez azért is nagy kihívás, mert többségüknek egyetlen CRM-je van, amely általában elérhető a szervezet összes tagjánál.
MM: Melyek azok a területek, ahol a GDPR megfelelés kiemelten fontos?
VE: Ez a rendelet minden területet érint, ahol személyes adatok előfordulhatnak. Talán a HR és a marketing a leginkább problémás területek, a következő részben erről fogok bővebben beszélni.
