Út az adatvédelmi megfeleléshez

Az adatvédelem sok kisebb cég számára csak egy újabb felesleges tehernek tűnik, így érthető, hogy nem szívesen foglalkoznak vele. De minden olyan vállalkozás, ami komolyan veszi, hogy a jogszabályoknak megfelelően járjon el, az nem kerülheti ki ezt a feladatot.

Az adatvédelmi tudatosság ugyanis egyre jellemzőbb a magánszemélyekre is, így az érintettek már elvárják, hogy az adataik kezelése korrekt legyen. Ez ugyanúgy igaz a munkavállalók adatainak kezelésére, mint az ügyfelek vagy partnerek adataira.

Az adatkezelőknek tehát nincs más választásuk, meg kell küzdeniük a GDPR mumusával. De hol is érdemes kezdeni? Összeszedtük néhány lépésben, hogy milyen út vezet az adatvédelmi megfeleléshez:

1. Adatvédelmi audit

Út az adatvédelmi megfeleléshez

Először fel kell mérni, hogy a társaság milyen adatkezeléseket végez. Ennek módja a rendelkezésre álló dokumentumok vizsgálata – ami lehet akár korábbi adatvédelmi dokumentáció, illetve a releváns rendelkezések az ÁSZF-ből, munkaszerződésekből, megbízási szerződésekből.

A dokumentumokon kívül fel kell térképezni, hogy a társaság milyen adatkezeléseket folytat még – aminek esetenként semmilyen nyoma nincs a dokumentumokban. Itt felmerülhet például a munkaidő nyilvántartás, a munkáltató ellenőrzési jogkörében kezelt adatok, kapcsolattartási adatok, céges buli fényképei, stb.

Az auditot követően lehet meghatározni, hogy pontosan milyen dokumentumok elkészítésére van szükség, illetve melyek azok a folyamatok, melyeket módosítani kell a jogszabályi megfelelés érdekében.

Ebbe a folyamatba érdemes bevonni a munkatársakat, hiszen ők tudják a legjobban, hogy munkájuk során hol találkoznak személyes adatokkal. Gyakran meglepő a vezetőség számára, hogy milyen sokféle adatkezelési tevékenységet végeznek a társaságnál – de ezekkel foglalkozni kell.

2. Dokumentumok elkészítése

Az audit során feltárt adatkezelések alapján állapítható meg, hogy pontosan milyen dokumentumok elkészítésére – vagy módosítására – van szükség. Ezek dokumentumokat a társaságnak – a valós (!) folyamatokat tükrözően – el kell készítenie. Ebben a körben érdemes gondolni a kötelező nyilvántartásokra – melyek ágazat specifikusan is változhatnak –, a szükséges tájékoztatókra, illetve szerződéses klauzulákra, melyeket be kell építeni az alkalmazott szerződésekbe.

3. Adatkezelési folyamatok kialakítás és módosítása szükség szerint

A társaságon belül módosítani kell azokat az adatkezelési folyamatokat, melyeknél az audit valamilyen hibát tárt fel – például ha szükségtelen adatot kezel a társaság, vagy ha nincs meghatározva a selejtezési idő. Ezen a ponton kell gondoskodni arról, hogy az elkészített dokumentáció alkalmazásra is kerüljön – hiszen semmi értelme a fióknak dolgozni, az nem fog megfelelni a jogszabályoknak.

4. Végrehajtási feladatok

Most már nagyon szépen elő van minden készítve, de hátra van még a kétkezi munka, hogy valóban minden a helyén legyen: adatkezelési tájékoztatók kihelyezése, megfelelő dokumentumok feltöltése a weboldalra, törlésre jelölt iratok selejtezése, kameratájékoztatók – amennyiben van – kihelyezése, stb…

5. Adatvédelmi oktatás

A társaság nevében mindig a kollégák járna el, ezért nagyon fontos, hogy ők is tisztában legyen az adatvédelemmel kapcsolatos kötelezettségeikkel. Ennek a legjobb módja, ha számukra oktatást tartunk, mely történhet írásban, online, de kétség kívül a legeredményesebb a jelenléti, élő oktatás, ahol mindenki felteheti a kérdéseit.

6. Adatfeldolgozók helyzetének rendezése

Meg kell vizsgálni, hogy a társaság milyen adatfeldolgozókkal dolgozik, és gondoskodni kell róla, hogy az adatfeldolgozókkal megfelelő megállapodás legyen. Ha a társaság jár el más adatkezelő adatfeldolgozójaként, akkor érdemes akkor különösen fontos a megállapodásban rendezni, hogy az adatkezelő nevében ki adhat utasítást az adatfeldolgozó részére. Később sok kellemetlenség elkerülhető ezzel.

A fenti lépések csak egy vázlatot jelentenek az adatvédelmi megfeleléshez, azonban ne felejtsük el, hogy a folyamat minden társaságnál máshogy alakulhat. Ideális esetben egy ilyen feladat elvégzésében két személy vesz részt: egy elhivatott, belső munkatárs, aki ismeri a társaság folyamatait, és egy külsős szakértő, aki az adatvédelmi jogszabályok ismeretében és kidolgozott „best practice” megoldások hozzáadásával tudja elősegíteni a jogszabályi megfelelést.

Egy biztos: egy felelős vállalkozásnak nem épülhet az üzleti terve a jogszabályi kötelezettségek figyelmen kívül hagyására. Egy jól kidolgozott adatkezelési rendszer pedig hosszú távon elősegíti a társaság átlátható letisztult, és ezzel gazdaságos működését.

Dr. Dékány Dóra

Dr. Dékány Dóra

Dr. Dékány Dóra az adatvédelmi jog területén kiemelten foglalkozik sportszervezetek, valamint magán-egészségügyi szolgáltatók adatvédelmi jogával, illetve adatvédelmi tisztviselői feladatokat lát el közfeladatot ellátó szervezeteknél. Széles ügyfélkörrel rendelkezik a KKV szektorban. Munkája során fontosnak tartja, hogy a jogszabályi keretek között olyan megoldásokat találjon, ami megfelel a gazdasági és piaci követelményeknek, és a gyakorlatlan is kivitelezhető.

További cikkek: