Disclaimer: jelen blog nem fog a fogalmak és rövidítések magyarázatával foglalkozni, mivel született erre már ezer oldal és bejegyzés.
A saját webshopom miatt már régóta foglalkoztam az online jogi megfelelőséggel, mindig is fő szempont volt, hogy a vásárlóink tisztában legyenek a jogaikkal és korrekt vásárlási folyamatokkal találkozzanak. Cégünk részt vett és kvalifikált az E-commerce Hungary (akkor még SzEK.org) által szervezett Vedd a neten! kezdeményezésen is.
A Virgo-nál is folytattam ezt a tevékenységemet a PO teendők mellett, hogy ügyfeleinket napra készen tudjuk tartani és tájékoztatni olyan témában, mint pl. az elállási jog.
Az adatok védelmében született GDPR-ral is így kezdtem el foglalkozni, és mivel ezt magamra húztam, így megnyertem a cégcsoporton belüli DPO szerepkört is.
Célom, hogy a gyakorlati oldalról mutassam be a GDPR megfelelés lépéseit, előkészületeit és nehézségeit egy konkrét cég esetében.
Mi is az a DPO és mi a GDPR lényege gyakorlati szempontból?
Sok facebook csoportban és blog bejegyzésben tapasztalom azt a problémát, hogy az emberek nagyon komoly nyűgnek élik meg a GDPR-ra való felkészülést. Az is. De közben teljesen jogos a kezdeményezés, hogy az adatainkat normális keretek között kezeljék, védjék. Ha a saját adatink fontosak, akkor másoké miért nem? Vagy ha mi nem kezeljük mások adatait megfelelően, akkor miért várjuk el, hogy a mienket igen?
Én azt gondolom, hogy ez egy nagyon jó lehetőség, hogy átgondoljuk:
- milyen adatkezelési folyamataink vannak,
- az adott folyamatok során milyen adatokat kezelünk,
- valóban szükséges-e minden adat bekérése, kezelése,
- nyújt-e bármi üzleti hasznot, hogy ezeket az adatokat bekérjük?
Érdemes optimalizálni a folyamatainkat, szükség esetén törölni olyan adatokat, amik nem nyújtanak hasznot. A jelenleg futó projektek esetében is már a fejlesztés folyamán célszerű megvizsgálni, hogy minden log-ra, adatgyűjtésre valóban szükség van-e?
Gondoljuk át a jogalapokat, milyen hozzájárulások kellenek majd, és ezeket hogyan tudjuk bekérni?
Ebben lehet segítség a DPO, aki szaktudásával tudja segíteni a csapatokat.
Fontos tudni, hogy a DPO nem lehet HR vezető, nem lehet IT vezető és nem lehet tulajdonos, olyan független személynek kell lennie, aki nem irányítható és ki tud állni az adatok biztonságért! És éppen ezért nem lehet érintett, nem dönthet a személyes adatok kezelésének céljáról és eszközeiről.
Kizárt pozíciók:
- vezérigazgató
- ügyvezető
- pénzügyi-,
- egészségügyi-,
- marketing-,
- HR-,
- IT-vezető
- bíróság előtti képviselet
Milyen feladatim vannak a cégben?
A GDPR szerint:
- tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;
- kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik az adatvédelmi felügyeleti hatósággal, és az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Emellett a DPO nem bocsátható el és nem vonható felelősségre a munkája miatt, az esetleges bírság is a társaságot terheli. Mondhatni milyen jó dolga van, de vegyük észre, hogy ez felelősség teljes munka, hiszen a bírságok mértéke akár egy cég életében is kerülhet.
És akkor mi a gyakorlat?
Elsőként azonosítottam azokat a területeket, ahol érint minket a GDPR:
- belső folyamatok (HR, backoffice, sales)
- IT biztonság (belső és külső üzemeltetések)
- ügyfél oldali teendők (készülő és supportált projektek)
Ezután belső workshopokat csináltunk, ahol azonosítottuk, hogy milyen adatokat kezelünk az adott területen, milyen folyamataink vannak és kinek milyen adatokat adunk át. Majd a jogalapot is hozzárendeltük ezekhez a folyamatokhoz.
De mit is várunk el egy DPO-tól?
Bár nem vonható felelősségre a DPO, de mindenképpen elvárt tőle, hogy szakmailag rátermett legyen, ismerje az adatvédelmi jogokat, a hatósági iránymutatásokat, adatbiztonsági és IT-folyamatokat. Ezenfelül ismerje a vállalat és ügyfeleinek környezetét, és érdemes megfelelő képzésen is részt venni.
És még egy apróság a DPO-kal kapcsolatban: az adatvédelmi tisztviselő esetén fontos elvárás az adatvédelmi tisztviselő elérhetőségeinek közzététele, illetve a NAIH-hoz való bejelentése.
Következő részben a HR workshop eredményéről írok majd.
Nincsenek megjegyzések:
Megjegyzés küldése