GDPR kihívás teljesítve
Az elmúlt hetekben a magyarországi cégeket más sem foglalkoztatja, mint a május 25-én hatályba lépő európai általános adatvédelmi rendelet, azaz GDPR. Ez velünk sincs másképp. Utánajártunk a témának és bevezettük a szükséges intézkedéseket. Szeretnénk megmutatni, hogyan csináltuk.
A SOFTIC Kft. fő profilja a szoftverfejlesztés és egyéb IT tevékenységek. Ebből adódóan, illetve partnereink védelme érdekében, eddig is odafigyeltünk az adatkezelésre.
Amiben más a korábbi szabályzásoktól
A GDPR az eddigi adatvédelmi szabályozásokhoz képest annyiban más, hogy meghatározza az egyének jogait és a személyes adatok kezelésének mikéntjét. Ezt úgy kell érteni, hogy mindenkinek, aki mások személyes adatait kezeli, biztosítania kell az értintettek számára a megfelelő tájékoztatást, adatainak módosításának lehetőségét, azok tiltását, végleges törlését, vagy zárolását.
A személyes adatok kezeléséről pedig úgy rendelkezik, hogy meg kell határozni azok indítékait, azaz annak célját, időtartamát, azok körét, akik kezelhetik az adatokat és átláthatóvá kell tenni a ténykedés jogalapját is.
Bár a személyes adatok fogalma elég egyértelmű, azért ne felejtsük el, hogy bármi lehet személyes adat, ha az egy személyes adattal együtt szerepel.
A fentiek alapján érdemes végig gondolni, azon dokumentumok körét, amiket kezelünk.
Mi például a következő dokumentumokat kezeljük:
- partneri szerződések,
- munkaszerződések,
- közüzemi cégekkel kötött szerződések,
- hírlevél feliratkozóink.
Ezek mind olyan iratok, amik minden szervezetben megtalálhatók és az alapvető működéshez elengedhetetlenek és minden esetben bizalmasan kezeljük őket.
Persze a dokumentumok köre vállalkozásonként eltérő, így a fenti lista sok esetben kiegészítésre szorulhat.
Fontos átgondolnunk az online felületeken történő adatkezelést is. Nálunk ez a következő módon történik: Weboldalunkon van lehetőség üzenetet írni nekünk, és feliratkozni a hírlevéllistánkra. Így honlapunkon is frissítettük az adatvédelmi tájékoztatónkat és az üzenetküldő mező alá tájékoztatót helyezünk ki az adatkezelési folyamatunkról.
A bevezetés lépései
A számba vett dokumentumokról érdemes egy listát készíteni, ahol feltüntetjük az adatkezelés célját, időtartamát, a kezelésre jogosultakat, és a kezelés jogosságát.
Például, a havi bérszámfejtéshez a könyvelőnknek szüksége van a személyes adatainkra, ezeket ő a számviteli törvény szerint kezeli, a munkaszerződés módosításig vagy megszüntetéséig.
A jövőben az európai általános adatvédelmi rendeletnek megfelelő működés érdekében még pár dolognak kell eleget tenni. Az egyéneket, akik adatait kezeljük megfelelően tájékoztatnunk kell erről és hozzá kell járulnia a személyes adatai kezeléséhez. Emellett, ki kell jelöljünk egy adatvédelmi tisztviselőt, aki a személyes adatokokat tartalmazó dokumentumok listáját megfelelően kezeli. Amennyiben új dokumentum keletkezik, azt jelenteni kell felé, hogy felvezethesse a megfelelő módon az iratot. Ha pedig törölni kellett valamit, azt is jelezni kell, hogy az adatvédelmi tisztviselő is törlhesse a listájáról. Ezeket a jelentéseket az adatkezelők kötelesek megtenni. Ezekre sablont is készíthetünk:
- adatkezelés bejelentő,
- adatmódosítás/törlés bejelentése,
- incidens kezelő dokumentum.
Az adatbejelentő dokumentumban szerepeltethetjük az adatkezelés indítékait, a bejelentő nevét és a bejelentés idejét. Innen tudjuk mikor jár le a kezelésre jogosultságunk.
Az alkalmazottak tájékoztatása és oktatása fontos része a szabályozásnak, ugyanis tudniuk kell róla, hogy felelősséggel tartoznak az általuk kezelt adatokért. Ugyanakkor a saját személyes adataik cégen belüli kezeléséről is informálni kell őket.
Amikor először meghalottam a GDPR kifejezést, és hogy egy újfajta rendnek kell megfeleltetni cégünket, megrettentem, de most, hogy a feladatot lezártuk, nem is volt olyan nehéz, hiszen iratkezelésünk és adatvédelmünk volt eddig is, így az eddigi rend szerint működtetjük tovább a SOFTIC-ot, új keretben, az egyes tevékenységek kibővítésével.