Az előző GDPR-ral kapcsolatos bejegyzésemben említettem, hogy a következő etap a belső folyamataink felmérése volt, hogy pontosan hol és milyen személyes adatokat kezelünk, ezekhez milyen folyamatok útján kik férnek hozzá. Három területre bontottam a működésünk alapján a vizsgálandó területeket:
- HR/backoffice/sales
- IT biztonság (üzemeltetés)
- Ügyfeleink rendszereinek fejlesztése és azok megfelelése
Elsőként a belső folyamatokat vizsgáltuk meg, egy kisebb csapattal, ahol az érintett területek képviselték magukat. Ez fontos, hiszen DPO-ként nem feltétlenül ismerem az adott terület folyamatait és nem is kötelességem ismerni azt.
HR workshop eredménye
Az előzetes vizsgálat és a csapatmunka során az alábbi helyeken történik adatkezelés vagy továbbítás:
- jelentkezési folyamat (reqruitment/CV kezelése)
- felvétel/beléptetés (munkaszerződés, email hozzáférés, céges telefon, laptop)
- bérszámfejtés
- kiléptetés (munkaviszony megszüntetése)
- a saját honlapunkon kapcsolat felvételi form, adatkezelési nyilatkozat
- üzemorvos
- jogosultság kezelés
- iroda ház kamera rendszer
Nézzük pár példát, hogy milyen kérdések merültek fel és milyen érdekes folyamatok vannak, amikkel foglalkoznunk kell:
- ügyfél scoring rendszer
- belső munkatársak DISC elemzése, teljesítmény értékelése
- fotós belső eseményeken
Ezekhez is kell külön hozzájárulás, tájékoztatás, illetve, ha ezeket az értékelési adatokat felhasználjuk a fizetésemelés mértékének megállapításához, akkor profilozásról beszélünk és hatásvizsgálatot kell készíteni.
Mobil és laptop
A mobil és laptop használat esetében is sok csavart tartalmaz a GDPR. Mobiltelefon céges környezetben történő használata esetén az alábbi esetekkel találkozhatunk:
- saját mobil, céges sim
- saját mobil, saját sim
- céges mobil, céges sim
- saját szám, saját sim, de beviszem a flottába
A GDPR-nak való megfelelés esetén, ha magánszámot tárolok a céges mobilon, akkor írásban engedélyt kell kérnem az adott magánszemélytől, aki ezt később visszavonhatja. De ha magánkézbe lévő készüléket használok, akkor céges adatokat nem tárolhatok rajta. Legjobb a saját mobil céges sim, amikor a céges számokat a céges sim kátyán tárolom.
De ha bevitted a cégbe a saját számod, akkor sajnos bonyolódik a helyzet, mivel a telefonszámod bekerül pl. az emailben az aláírásodba. Ebben az esetben kilépéskor a szerződésekből, emailekből törölni kell(ene). Mi a megoldás?
A legegyszerűbb, hogy a munkavállaló nem hozhatja be vagy nem viheti ki a számát. Második megoldás, hogy belépéskor vagy kilépéskor tájékoztatni, hogy ezeket az adatokat te, mint munkáltató tovább tárolod. Ilyenkor tiltakozhat. Ha kilépéskor hozzájárulást kérsz, akkor azt később visszavonhatja.
Laptopok, PC-k esetében elkerülhetetlen, hogy személyes adatok kerüljenek rá, ami szintén okozhat jogi problémát. Ezt szintén meg tudjuk előzni tájékoztatással, amelyben jelezzük, hogy minden, céges gépen tárolt adat céges adatnak minősül, így a felelősséget áthárítjuk a munkavállalóra.
A laptopok esetén az integritást és bizalmas jelleget is szem előtt kell tartani és mindent megtenni annak érdekében, hogy az adott OS napra kész legyen, az OS által nyújtott biztonsági beállítások be legyenek kapcsolva. A titkosított HDD ésszerű megoldás, így ajánlott.
Hogyan járjunk el az aktuális munkavállalókkal?
Új belépő munkavállaló esetén a szerződés aláíráskor kell vagy a szerződésbe foglalni az adatvédelmi szabályzatnak való megfelelést, vagy külön dokumentumként kezelni. Már meglévő munkavállalók esetében szerződés módosítás vagy tájékoztatás után, de minden esetben a munkavállalónak kell bepipálnia, hogy hozzájárul adott adatok munkáltató általi kezeléséhez és alá kell írnia.
Érdemes kitérni minden adatkezelési esetre:
- email server
- tender
- fotó
- stb.
Az egyik legfontosabb tudnivaló, hogy az esetek többségében törvényi vagy szerződéses jogalap van az adatok kezelésére, tarolására és a munkavállalók tájékoztatás vagy hozzájárulása szükséges hozzá.
Érdemes arra figyelni, hogy hozzájárulás esetén élhet a visszavonás jogával, de tájékoztatás esetén csak tiltakozhat, amit, az adott esetet megvizsgálva, el is utasíthatunk.
Ha a belső szabályzatunk részletesen kitér minden adatkezelési folyamatra, akkor első körben jól jártunk el.
Ha a szerződéseket, aktákat, személyes adatokat tartalmazó dokumentumokat papír alapon tárolunk, akkor azokat mindig elzárva kell tartani és egy úgynevezett kulcsrendet létrehozni, amiben nyilván van tartva, hogy kik férhetnek hozzá az adott szekrény tartalmához. Ezt a kulcsrendet is ebben a zárható részben kell tárolni.
Következő részben a webshopok teendőiről fogok írni.
Nincsenek megjegyzések:
Megjegyzés küldése