GDPR sablonok és iratminták – valódi segítség vagy hamis ígéret?
Kevesebb, mint 2 hét van vissza május 25-ig. A vállalkozások nagy része már hallott a rendeletről, és egyre többen döntenek úgy, hogy bár határidőre már nem tudják elvégezni a szükséges feladatokat, de nekiállnak a felkészülésnek.
A régóta működő vállalkozások már megéltek egy-két jogszabályváltozást, tevékenységük megkezdése óta új törvények jelentek meg. Jól alkalmazkodtak a hasonló nehézségeket okozó EKÁER rendszer bevezetéséhez, vagy a pénzmosás és terrorizmus megelőzéséről és megakadályozásáról szóló törvényhez is. Emlékeim szerint ezen új szabályok bevezetése előtt is sok bizonytalanság volt a vállalkozások vezetőiben, hiszen indokolatlanul nagyon munkát jelentett a rendszerek megértése, a napi rutin kialakítása, és a szervezeten belüli felelősök megtalálása.
Akkoriban egy exportra termelő középvállalkozás operatív igazgatójaként próbáltam segíteni munkatársaimnak abban, hogy az EKÁER kapcsán megfogalmazott bejelentési kötelezettség paramétereit megértsük. Nagyon sok kérdés volt, kevés megfogható, használható, biztos válasszal, és mégis hatályba lépett a rendelkezés. Alkalmazni kellett, még ha ez extra terhet is jelentett a fuvarozással foglalkozó vállalkozások esetén. Persze napestig mesélhetném, hogy mennyi apróság jelentett problémát, amire a törvény megalkotói egyáltalán nem gondoltak. De a mindennapok megadták a választ, és ma már hallani sem lehet a rendszerről, mert mindenkinek természetes a megléte. Hasonló volt a helyzet pénzmosáshoz kapcsolódóan, ahol a Hatóság fél évvel később készítette el a vállalkozásokat segítő tájékoztató sablonokat, de ezenkívül is rengeteg elérhető dokumentum van a világhálón.
A GDPR rendeletre való felkészülés előrehaladtával is egyre több sablon, iratminta található az interneten, melyről sok fórumon lehet olvasni különböző véleményeket. Én magam úgy gondolok a sablonokra, mint a matematika órán alkalmazott képletekre. Nélkülük nagyon nehéz lett volna megoldani a feladatot, de természetesen nem lehetetlen. Józan ész, ötletelés, korábbi gyakorlat, mind-mind jó eredményhez vezethetett. Viszont sokkal egyszerűbb volt alkalmazni a képletet, illetve megnézni egy korábban elkészített feladat megoldását. Végignézve a folyamatot legtöbbször teljesen egyértelművé vált, hogy mit kell csinálni, és a megoldás mindenféle külső segítség nélkül is megtalálható volt.
Természetesen fontos volt, hogy milyen feladatot szeretnék megoldani, és tudnom kellett, hogy ahhoz melyik képlet alkalmazható. Hiába volt egy teljes képletgyűjteményem, ha nem tudtam, hogy melyiket és hogyan kell alkalmaznom a megoldáshoz.
Valahogy így vagyok most a GDPR sablonokkal is. A sablonok sok mindenben segítséget nyújthatnak, de természetesen nem helyettesítik a saját beletett energiát, utánajárást, problématudatot. Nem adnak, és nem is adhatnak kész megoldást, mindössze egy jó „képletként” működhetnek, amiben a saját paramétereinket behelyettesítve megkaphatjuk a saját eredményeinket. Ehhez azonban pontosan tudnunk kell, hogy mire is van szükségünk.
Nem tudjuk tehát elkerülni tehát az alapos felkészülést, mely véleményem szerint az alábbi lépésekből áll:
- a GDPR rendelet ismerete. Ez lehet az eredeti angol szöveg, a magyar fordítás vagy egy rövidített összefoglaló is, az azonban nagyon fontos, hogy elakadás vagy bizonytalanság esetén az eredeti szöveghez nyúljunk kapaszkodóként
- a saját vállalkozásom folyamatainak összevetése a GDPR rendeletben megfogalmazott elvárásokkal. Ebbe szerencsés bevonni azokat a vezető munkatársakat, akik már régóta dolgoznak a vállalkozásban, és olyan folyamatokat irányítanak, melyekben személyes adatok kezelése történik. Minél több ember értelmezi, és érti meg az elvárásokat, annál teljeskörűbb lesz az elkészített eredmény
- először praktikus azt leírni, hogy most hogyan működünk:
- milyen folyamataink vannak?
- melyekben fordulhatnak elő személyes adatok?
- kinek a személyes adatait kezeljük?
- munkavállalói, ügyfelek kapcsolattartói, vásárlók adatai
- mit, hol és hogyan tárolunk ezekből?
- állásra jelentkezők adatai, munkavállalók családtagjainak adatai, ügyfelek kapcsolattartási adatai
- szerver, HR iroda szekrénye, felhő alapú szoftverekben, email fiókokban
- papíron, digitálisan
- milyen céllal tároljuk ezeket az adatokat?
- van-e olyan személyes adat, amire nincs szükség a munkánk során?
- számítógép átvizsgálása
- irattár vizsgálata
- kik azok, akik még hozzáférnek az általam kezelt személyes adatokhoz?
- milyen módon férnek hozzá?
- mit csinálnak vele?
- milyen módon tudom megvédeni az általam kezelt személyes adatokat?
- informatikai rendszereim vizsgálata
- szoftverek vizsgálata, amikben személyes adatokat tárolok
- jogosultságkezelések áttekintése – beleértve a jelszavakat, hálózati hozzáféréseket, céges telefonokat, levelezőrendszereket
- mentési tervek áttekintése
Ha készen vagyunk a saját vállalkozásunk átvilágításával, akkor össze kell vetni a GDPR rendelet fogalmaival, és elvárásaival. A következő blogcikkünkben erről fogunk részletesebben írni.
A belső eljárásrendek, az iratminták és tájékoztatók csak akkor készíthetők el, ha azonosítottuk a folyamatainkat, és felvázoltuk, hogy a GDPR rendeletnek megfelelően ez hogyan kell, hogy működjön a jövőben. A rendelet ugyanis kimondja, hogy az Érintetteknek a saját adataik kezelésére vonatkozóan kell rövid, tömör, közérthető, releváns információkat kapniuk. Ezt pedig csak akkor tudjuk leírni, hogy tisztában vagyunk a teljes folyamattal.
Véleményem szerint ebben nyújtanak nagy segítséget a Crosssec Solutions által kínált sablonok. Az összegyűjtött, kidolgozott adatokat már „csak” be kell helyettesíteni abba a képletbe, ami végül a vállalkozásunkra is igaz megoldásokat adja.
Tovább a GDPR felkészítő termékekhez
A beszerzés előtt tájékozódjunk, nézzük meg, hogy pontosan mit vásárolunk, és hogy vajon nekünk erre a termékre van-e szükségünk.
Ha elakadnának, keressenek bennünket bizalommal az alábbi elérhetőségek bármelyikén:
gdpr@crosssec.com , vagy 06 20 666 7894.
Eredményes felkészülést, jó munkát kívánva:
Sabján Eszter
operatív igazgató