Mostanra tényleg nincs olyan napunk, amikor ne jönne szembe a reggeli hírfolyamban legalább egy felhívás, határidő emlékeztető vagy újabb magyarázat az adatvédelmi rendelet május végi hatályba lépéséről. Miközben a GDPR a tavasz sztártémájává vált, tanácsadóként újra és újra megéljük, hogy az információzuhatagból a legtöbb vállalkozás nehezen tudja segítség nélkül kibányászni a rá vonatkozó tennivalókat. Általában a legkézenfekvőbb kérdéseket kapjuk: Most akkor honnan kezdjük ezt az egészet? Tudunk valamire építkezni? Tudjuk használni a meglévő szabályozásainkat, vagy teljesen új kell? – És máris fején találtuk a szeget! Mert az esetek zömében már működik olyan rendszer, amin az építkezés elkezdhető, vagy még jobb esetben folytatható.
Itt olvashatja a témában a Piac & Profit összes cikkét!
Erőforrások ’Lasztminitben’
Minden vállalkozás dolgozik valamilyen szintű adatokkal. Ahol olyan információkkal dolgoznak, amelyekre fokozottabban kell ügyelni, biztosan alkottak már az elmúlt években információbiztonsági előírásokat. Egy működő információbiztonsági irányítási rendszer (IBIR) keretében eleve rendszeresen ellenőrzik, hogy hol, hogyan tárolnak adatokat, milyen intézkedések születtek a védelmében. A kapcsolódó szabvány (ISO 27001) nem ad konkrét iránymutatást, de azt előírja, hogy megfelelő intézkedéseket kell hoznunk annak érdekében, hogy ne sérüljenek a nálunk tárolt adatok. Ne következhessen be az állományok - beleértve a személyes adatokat - véletlen vagy jogellenes megsemmisülése.
Egy jól felépített Információbiztonsági Szabályzat (IBSZ) tartalmazza azokat az intézkedéseket, amelyeket az adatsérülések, adatvesztések elkerülése érdekében hoztunk. Továbbá ismerteti az ellenőrzés rendszerét, módszereit. A GDPR-ban központi témaként szereplő adatvédelmi incidens mumusát elsősorban az információbiztonsági szabályozásainkkal tudjuk kivédeni.
Tehát ha már van egy IBIR-ünk, magasabb fokú adattudatossággal működünk és eleve jópár lépést tettünk a magasabb fokú GDPR megfelelés irányába.
Mi van még a szertárban?
Milyen meglévő eszközünk segítheti még a GDPR intézkedéseinket? Ilyen lehet például egy jogosultsági mátrix, azaz egy jól átgondolt nyilvántartás arról, hogy a szervezeten belül (és akár kívül), kinek, milyen adatokhoz van hozzáférési jogosultsága – tágabb értelemben még a papír alapon kezelt adatok tárolására szolgáló irattároló kulcsát is beleértve. Szintén hasznos lesz az építkezésben, ha rendelkezünk naprakész kockázatértékeléssel és vannak dokumentált kockázatkezelési intézkedéseink.
Még nagyobb a GDPR-eszköztár, ha magasabb szintű belső nyilvántartásokkal is dolgozunk. Ha például van jól működő jogosultság kezelés. Vagy ami szintén jó bázist ad: olyan IT rendszer, amiben személyes adatokat kezelnek. Ilyenek lehetnek a működtetett CRM, iktatórendszerek, bérszámfejtéshez HR-hez használt nyilvántartási rendszerek, és azok GDPR megfelelő paraméterezése, így például a bennük előre rögzített megőrzési idő.
Sose csak vízzel főzünk
Az előbbi szabályozások, dokumentumok, intézkedések közül jónéhányat megtalálunk a vállalkozások alap eszköztárában. A ’saját jól felfogott érdek’ nem elhanyagolható szempont és egy tudatosan tervező vállalkozás eleve beépíti a működésébe a biztonsági elemeket. Így szinte sosem indulunk nulláról. Ez az első, a „Miből élünk? – kör”, amikor a szükséges lépésekhez felmérjük a meglévő elemeket és azt látjuk, hogy a kőleves történetéhez hasonlóan azért mindig vannak nyersanyagok a kamrában. Érdemes tehát ezt a vizsgálatot a vállalkozás teljes működésére nézve megtenni, hogy a felkészülés során minél több használható eszközünket tudjuk a GDPR szolgálatába állítani.
Fontos hangsúlyozni, hogy a GDPR adatminimum elve sajnos a szabályozásra nem érvényes, legfeljebb közvetve, hiszen ha valóban törekszünk a minél kevesebb személyes adat kezelésére, akkor annál kevesebbnek a jogosságát kell igazolnunk. De igazolnunk kell – az adatkezelő felelőssége bizonyítani az adatkezelési folyamatainak megfelelőségét.
Szerző:
Vida Sándor, tanácsadó
