Az elmúlt hetekben a magyarországi cégeket más sem foglalkoztatja, mint a május 25-én hatályba lépő európai általános adatvédelmi rendelet, azaz GDPR. Ez velünk sincs másképp. Utánajártunk a témának és bevezettük a szükséges intézkedéseket. Szeretnénk megmutatni, hogyan csináltuk.

A SOFTIC Kft. fő profilja a szoftverfejlesztés és egyéb IT tevékenységek. Ebből adódóan, illetve partnereink védelme érdekében, eddig is odafigyeltünk az adatkezelésre.

Amiben más a korábbi szabályzásoktól

A GDPR az eddigi adatvédelmi szabályozásokhoz képest annyiban más, hogy meghatározza az egyének jogait és a személyes adatok kezelésének mikéntjét. Ezt úgy kell érteni, hogy mindenkinek, aki mások személyes adatait kezeli, biztosítania kell az értintettek számára a megfelelő tájékoztatást, adatainak módosításának lehetőségét, azok tiltását, végleges törlését, vagy zárolását.

A személyes adatok kezeléséről pedig úgy rendelkezik, hogy meg kell határozni azok indítékait, azaz annak célját, időtartamát, azok körét, akik kezelhetik az adatokat és átláthatóvá kell tenni a ténykedés jogalapját is.

Bár a személyes adatok fogalma elég egyértelmű, azért ne felejtsük el, hogy bármi lehet személyes adat, ha az egy személyes adattal együtt szerepel.

A fentiek alapján érdemes végig gondolni, azon dokumentumok körét, amiket kezelünk.

Mi például a következő dokumentumokat kezeljük:

• partneri szerződések,
• munkaszerződések,
• közüzemi cégekkel kötött szerződések,
• hírlevél feliratkozóink.

Ezek mind olyan iratok, amik minden szervezetben megtalálhatók és az alapvető működéshez elengedhetetlenek és minden esetben bizalmasan kezeljük őket.

Persze a dokumentumok köre vállalkozásonként eltérő, így a fenti lista sok esetben kiegészítésre szorulhat.

Fontos átgondolnunk az online felületeken történő adatkezelést is. Nálunk ez a következő módon történik: Weboldalunkon van lehetőség üzenetet írni nekünk, és feliratkozni a hírlevéllistánkra. Így honlapunkon is frissítettük az adatvédelmi tájékoztatónkat és az üzenetküldő mező alá tájékoztatót helyezünk ki az adatkezelési folyamatunkról.

A bevezetés lépései

A számba vett dokumentumokról érdemes egy listát készíteni, ahol feltüntetjük az adatkezelés célját, időtartamát, a kezelésre jogosultakat, és a kezelés jogosságát.

Például, a havi bérszámfejtéshez a könyvelőnknek szüksége van a személyes adatainkra, ezeket ő a számviteli törvény szerint kezeli, a munkaszerződés módosításig vagy megszüntetéséig.

A jövőben az európai általános adatvédelmi rendeletnek megfelelő működés érdekében még pár dolognak kell eleget tenni. Az egyéneket, akik adatait kezeljük megfelelően tájékoztatnunk kell erről és hozzá kell járulnia a személyes adatai kezeléséhez. Emellett, ki kell jelöljünk egy adatvédelmi tisztviselőt, aki a személyes adatokokat tartalmazó dokumentumok listáját megfelelően kezeli. Amennyiben új dokumentum keletkezik, azt jelenteni kell felé, hogy felvezethesse a megfelelő módon az iratot. Ha pedig törölni kellett valamit, azt is jelezni kell, hogy az adatvédelmi tisztviselő is törlhesse a listájáról. Ezeket a jelentéseket az adatkezelők kötelesek megtenni. Ezekre sablont is készíthetünk:

• adatkezelés bejelentő,
• adatmódosítás/törlés bejelentése,
• incidens kezelő dokumentum.

Az adatbejelentő dokumentumban szerepeltethetjük az adatkezelés indítékait, a bejelentő nevét és a bejelentés idejét. Innen tudjuk mikor jár le a kezelésre jogosultságunk.

Az alkalmazottak tájékoztatása és oktatása fontos része a szabályozásnak, ugyanis tudniuk kell róla, hogy felelősséggel tartoznak az általuk kezelt adatokért. Ugyanakkor a saját személyes adataik cégen belüli kezeléséről is informálni kell őket.

Amikor először meghalottam a GDPR kifejezést, és hogy egy újfajta rendnek kell megfeleltetni cégünket, megrettentem, de most, hogy a feladatot lezártuk, nem is volt olyan nehéz, hiszen iratkezelésünk és adatvédelmünk volt eddig is, így az eddigi rend szerint működtetjük tovább a SOFTIC-ot, új keretben, az egyes tevékenységek kibővítésével.