Az adatvédelem sok kisebb cég számára csak egy újabb felesleges tehernek tűnik, így érthető, hogy nem szívesen foglalkoznak vele. De minden olyan vállalkozás, ami komolyan veszi, hogy a jogszabályoknak megfelelően járjon el, az nem kerülheti ki ezt a feladatot.
Az adatvédelmi tudatosság ugyanis egyre jellemzőbb a magánszemélyekre is, így az érintettek már elvárják, hogy az adataik kezelése korrekt legyen. Ez ugyanúgy igaz a munkavállalók adatainak kezelésére, mint az ügyfelek vagy partnerek adataira.
Az adatkezelőknek tehát nincs más választásuk, meg kell küzdeniük a GDPR mumusával. De hol is érdemes kezdeni? Összeszedtük néhány lépésben, hogy milyen út vezet az adatvédelmi megfeleléshez:
1. Adatvédelmi audit
Először fel kell mérni, hogy a társaság milyen adatkezeléseket végez. Ennek módja a rendelkezésre álló dokumentumok vizsgálata – ami lehet akár korábbi adatvédelmi dokumentáció, illetve a releváns rendelkezések az ÁSZF-ből, munkaszerződésekből, megbízási szerződésekből.
A dokumentumokon kívül fel kell térképezni, hogy a társaság milyen adatkezeléseket folytat még – aminek esetenként semmilyen nyoma nincs a dokumentumokban. Itt felmerülhet például a munkaidő nyilvántartás, a munkáltató ellenőrzési jogkörében kezelt adatok, kapcsolattartási adatok, céges buli fényképei, stb.
Az auditot követően lehet meghatározni, hogy pontosan milyen dokumentumok elkészítésére van szükség, illetve melyek azok a folyamatok, melyeket módosítani kell a jogszabályi megfelelés érdekében.
Ebbe a folyamatba érdemes bevonni a munkatársakat, hiszen ők tudják a legjobban, hogy munkájuk során hol találkoznak személyes adatokkal. Gyakran meglepő a vezetőség számára, hogy milyen sokféle adatkezelési tevékenységet végeznek a társaságnál – de ezekkel foglalkozni kell.
2. Dokumentumok elkészítése
Az audit során feltárt adatkezelések alapján állapítható meg, hogy pontosan milyen dokumentumok elkészítésére – vagy módosítására – van szükség. Ezek dokumentumokat a társaságnak – a valós (!) folyamatokat tükrözően – el kell készítenie. Ebben a körben érdemes gondolni a kötelező nyilvántartásokra – melyek ágazat specifikusan is változhatnak –, a szükséges tájékoztatókra, illetve szerződéses klauzulákra, melyeket be kell építeni az alkalmazott szerződésekbe.
3. Adatkezelési folyamatok kialakítás és módosítása szükség szerint
A társaságon belül módosítani kell azokat az adatkezelési folyamatokat, melyeknél az audit valamilyen hibát tárt fel – például ha szükségtelen adatot kezel a társaság, vagy ha nincs meghatározva a selejtezési idő. Ezen a ponton kell gondoskodni arról, hogy az elkészített dokumentáció alkalmazásra is kerüljön – hiszen semmi értelme a fióknak dolgozni, az nem fog megfelelni a jogszabályoknak.
4. Végrehajtási feladatok
Most már nagyon szépen elő van minden készítve, de hátra van még a kétkezi munka, hogy valóban minden a helyén legyen: adatkezelési tájékoztatók kihelyezése, megfelelő dokumentumok feltöltése a weboldalra, törlésre jelölt iratok selejtezése, kameratájékoztatók – amennyiben van – kihelyezése, stb…
5. Adatvédelmi oktatás
A társaság nevében mindig a kollégák járna el, ezért nagyon fontos, hogy ők is tisztában legyen az adatvédelemmel kapcsolatos kötelezettségeikkel. Ennek a legjobb módja, ha számukra oktatást tartunk, mely történhet írásban, online, de kétség kívül a legeredményesebb a jelenléti, élő oktatás, ahol mindenki felteheti a kérdéseit.
6. Adatfeldolgozók helyzetének rendezése
Meg kell vizsgálni, hogy a társaság milyen adatfeldolgozókkal dolgozik, és gondoskodni kell róla, hogy az adatfeldolgozókkal megfelelő megállapodás legyen. Ha a társaság jár el más adatkezelő adatfeldolgozójaként, akkor érdemes akkor különösen fontos a megállapodásban rendezni, hogy az adatkezelő nevében ki adhat utasítást az adatfeldolgozó részére. Később sok kellemetlenség elkerülhető ezzel.
A fenti lépések csak egy vázlatot jelentenek az adatvédelmi megfeleléshez, azonban ne felejtsük el, hogy a folyamat minden társaságnál máshogy alakulhat. Ideális esetben egy ilyen feladat elvégzésében két személy vesz részt: egy elhivatott, belső munkatárs, aki ismeri a társaság folyamatait, és egy külsős szakértő, aki az adatvédelmi jogszabályok ismeretében és kidolgozott „best practice” megoldások hozzáadásával tudja elősegíteni a jogszabályi megfelelést.
Egy biztos: egy felelős vállalkozásnak nem épülhet az üzleti terve a jogszabályi kötelezettségek figyelmen kívül hagyására. Egy jól kidolgozott adatkezelési rendszer pedig hosszú távon elősegíti a társaság átlátható letisztult, és ezzel gazdaságos működését.