GDPR Tanácsadás – Pozitív, és kihívásokat jelentő tapasztalataink
9 hónappal ezelőtt indultak a Crosssec Solutions GDPR rendelettel kapcsolatos tanácsadói szolgáltatásai. Bár azt megelőzően is végeztünk vállalat- és folyamatfejlesztési tevékenységet egyedi szoftverfejlesztéseinkhez kapcsolódóan, de a nagyszámú érdeklődés miatt sok új tapasztalattal gazdagodtunk.
Következő soraimmal tisztelettel adózom azon tanácsadással foglalkozó kedves ismerőseim, cégvezető társaim és stratégiai partnereink előtt, akik hozzánk hasonlóan nap, mint nap tesznek azért, hogy a tanácsadói iparágról kialakult rossz előítéletek felülíródjanak.
Első és legfontosabb megállapításom, hogy nagyon nehéz utat választ ma az a vállalkozó, aki tanácsadásra adja a fejét. A Megbízók nagy többségének már vannak emlékei ezen szolgáltatási típussal kapcsolatban, és sajnos biztosan állíthatom, hogy ez nagyobb arányban negatív, mint pozitív. Természetesen én magam is vettem már igénybe sok-sok tanácsadói szolgáltatást a Crosssec Solutions eddigi útja során, és vegyes élményekkel gyarapodtam. De még így is nehéz volt megtapasztalni a másik oldalon állva, hogy a cégvezetők nagy része mennyire szkeptikus és bizalmatlan egy nagyon alaposan előkészített szolgáltatással kapcsolatban is. Ez arra késztetett engem, hogy összeszedjem azokat a kétségeket, amelyek a Megbízókban leginkább jelen vannak.
1. „Egy kérdőív alapján el lehet készíteni az árajánlatot?”
Ez talán a leggyakrabban elhangzó kérdés azzal a kiegészítéssel, hogy „ilyen kérdőívet már többet is kitöltöttem”. Nos, a vállalkozások vezetői egy valamit nem szeretnek a szolgáltatás igénybevétele során, az pedig az általánosítás: ha a Megbízott egy sablon dokumentációval, netán más cégeknél bevált gyakorlattal áll elő.
Én magam is így vagyok ezzel, noha kétségtelen, hogy a korábbi tapasztalatok beépülnek a tevékenységbe, sokszor éppen a Megbízó anyagi előnyére. Törekedtünk olyan kérdőívet összeállítani, amiből számunkra minden fontos információ kiderül az előttünk álló munkával kapcsolatban. A kérdésekre adott feleletválasztós, vagy kifejtős válaszokat egy, a táblázat mellett elrejtett szempontrendszer szerint értékeljük ki. Bizonyos válaszok az átvilágításra, bizonyosak az új folyamatok kialakítására, míg mások a fenntartási időszakra hatnak nagyobb súlyban.
Ennek megfelelően készítjük el az ajánlatot, így alakítjuk ki, hogy mely szakasz árazása hogyan alakul a szükséges időbefektetés vonatkozásában. Törekszünk rá, hogy a kérdőívet vagy személyesen töltsük ki a cégvezetővel együtt, vagy igyekezzünk egy személyes találkozót is eszközölni az ajánlatadás előtt. Fontos ugyanis, hogy az első számú, vagy a feladattal megbízott vezető hogyan tekint az előttünk álló közös munkára, mire helyez nagyobb hangsúlyt, és mi okozza a nagyobb problémát számára. Annak pedig, hogy sok-sok hasonló kérdőívvel találkozhatunk, csak annyi lehet az oka, hogy ugyanazon rendelet betartására, jogszerű működési modell kialakítására irányul a tanácsadók szolgáltatása.
2. „Nagyon magas az ajánlat, pedig a munkavédelem, tűzvédelem, egyéb más tanácsadói szolgáltatás sokkal kevesebb pénzbe került”
Nos igen, nehéz az almát a körtével összehasonlítani. A GDPR rendelet, annak értelmezése, a cég folyamataival történő összeegyeztetése, jogszerű, de életszerű megoldások keresése nem egy minden cégnél egyformán alkalmazható menetrend alapján történik. A megfelelő, időt és hatósági ellenőrzést álló dokumentáció, az egyedileg elkészített tájékoztatók, munkautasítások, belső szabályzatok, illetve oktatási anyagok elkészítése ma még nem egy kiforrott munkafolyamat egyik tanácsadónál sem. Mindezt állítom azért, mert nagyon rövid ideje hatályos a rendelet, nem alakult még ki a nemzetközi és nemzeti ellenőrzési gyakorlat sem, valamint több olyan rész is található a rendeletben, melynek pontosítása, részletezése mindenképpen szükséges lesz az elkövetkezendő időszakban.
Ez pedig azt jelenti, hogy míg a munkavédelem, tűzvédelem, energetikai tanúsítvány, ISO tanúsításra való felkészítés már egy jól bevált módszertan mentén történik - hiszen pontosan ismeretesek az ellenőrzési szerv gyakorlatai, illetve rendelkezésre áll a többszörösen jónak talált dokumentáció -, addig a GDPR rendeletre való felkészülés ma még nem egy kiforrott gyakorlat. Rengeteg külföldi és nemzeti szakmai fórum olvasására, folyamatos jogi, IT, IT biztonsági szakemberekkel való konzultációra és együtt gondolkodásra van szükség.
A vállalkozások nagy része már évek, talán évtizedek óta is működik. A fejlődési tendenciákat követendő minden adatot, belőlük származó információt tároltak, az értékteremtő folyamataikat nagyon jól támogató írott és íratlan szabályok mentén működtetik. Ezeket kell tehát átgondolni, listázni, modellezni, a rendelet elvárásaihoz illeszteni, kialakítani a ma még egyáltalán nem egyszerű dokumentációt, és egy olyan szabályozást, amit a vállalat a tanácsadást követően is alkalmazni tud. Valószínű, hogy évek múlva már ez is egy nagyjából egységes árszinten igénybe vehető szolgáltatás lesz, hasonló átadott tartalommal.
3. „Mindenki csak a kezét tartja a nagy pénzért, aztán idehozza a sablonokat, amiket már számtalan másik vállalkozásnál felhasznált”
Igen, ez egy nagyon nagy, és mérlegelést igénylő kockázat. Fontos, hogy mindenképpen győződjünk meg arról, hogy az általunk megbízni kívánt vállalkozás rendelkezik-e a megfelelő tapasztalattal a felkészítésre vonatkozóan. Ahogy az előző bekezdésben is írtam, ez ma még egy nagyon nehéz kérdés, mert azon túl, hogy nem tudjuk a szélsőséges helyzetekre kialakított helyes megoldásokat, a Nemzeti Adatvédelmi és Információszabadság Hatóság sem rendelkezik azzal a hivatalos audittal, amivel a GDPR rendeletre való felkészítési szolgáltatást nyújtó tanácsadókat minősíteni tudná.
Ez egy nagyon fontos, és reméljük, hogy minél hamarabb bekövetkező állapot lesz, hiszen akkor az ellenőrzött szervezetek közül tud választani a Megbízó. Jelenleg azonban rengeteg a hirtelen gazdagságra vágyó, jó üzleti érzékkel megáldott, felületesen felkészült vállalkozó. És vigyázat, itt most nem csak az egyéni vállalkozóra gondolok, aki 2 hónapja hallott először a rendeletről, vagy arra, aki mindösszesen egy 3 napos tréning után adja az életre szóló tanácsokat. Találkoztunk már olyan ügyvéddel is, aki 2 mondattal kiegészítette a munkaszerződést, írt valamilyen általános tájékoztatót, a cookie-ról is tanácsolt valamit, de a folyamatok átalakításával, a mindennapokba való átültetéssel, a nem is annyira szélsőséges helyzetekkel (adattárolás, régi adatbázisok, irattár, kilépett munkavállalók adatai, hogy csak néhányat említsek példaként) egyáltalán nem foglalkozott. Éppen ezért kiemelten fontos, hogy alaposan mérlegeljünk, mielőtt szerződést kötünk a Megbízottal.
A Crosssec Solutions esetében beszéljenek inkább Ügyfeleink tapasztalatai helyettünk:
”Örömünkre szolgált, hogy a PBKIK által ajánlott pécsi Crosssec Solutions Kft. maximálisan megfelelt várakozásunknak a GDPR témában.
A Crosssec velünk kapcsolatos tevékenysége, maximálisan korrekt, segítő hozzáállása, profizmusa, megfizethető árai arra inspiráltak bennünket, hogy szélesebb körben ajánljuk a szolgáltatásaikat.
Úgy véljük, a hozzánk hasonló KKV-k nagy segítséget kapnának, még akkor is, ha már saját erőből megoldották a GDPR felkészülést.”- Tóth Miklós, Ügyvezető igazgató - Naturhelix Kft.
”A GDPR sok vállalkozónak fekete folt volt, amikor az első hírek megérkeztek. Bevallom én sem láttam át a pontos részleteket, fogalmam sem volt miként fogunk megküzdeni a bevezetéssel.
Szerencsére megtudtuk, hogy a Crosssec foglalkozik a témával, majd az első megbeszélésen már látszott, hogy jó kezekben leszünk, ha őket választjuk. Szakértői hozzáállásuk, felkészültségük már akkor egyételmű volt, így megrendeltük a szolgáltatást. Mára, velük közösen, sikeresen alakítottuk ki a szükséges nyilvántartásokat, dokumentumokat, és változtattunk folyamatainkon.
Az együttműködésünket végig a magas szakmai színvonal, a határidőtartás és az ügyfélorientáltság jellemezte. Mindemellett ár/érték arányban kiemelkedő a Crosssec GDPR szolgáltatása, így nagyon jó szívvel ajánlom bárkinek a velük való együttműködést!”
- Bóra Áron, Ügyvezető igazgató - Infocomplex Kft.
A tanácsadás nagyon nehéz feladat. Nem csak nagyon kell érteni ahhoz a terület(ek)hez, mellyel kapcsolatban iránymutatást szeretnénk adni, de a saját megértésünket át is kell tudnunk adni a másik félnek. Folyamat- és rendszerszemlélettel kell rendelkeznünk, és bele kell tudnunk képzelni magunkat a tanácsadást igénybe vevő szerepébe. Így tudjuk ugyanis azokat a valóban alkalmazható szabályokat előkészíteni, amelyek később hasznot hoznak a cég életébe. Állandóan képeznünk kell magunkat, olvasni a megjelenő nemzetközi és hazai híreket, állásfoglalásokat. A folyamatos fejlődés érdekében a lezárt szerződések után értékelnünk kell az Ügyfelek véleményét, a saját tapasztalatainkat is, és fejlesztenünk kell a szolgáltatásunkat.
A Megbízónak érdemes mérlegelni, hogy mekkora terhet vesz le a tanácsadó a válláról. Mennyi idő lenne, ha a legjobb munkatársaink, akiket valószínűleg egyéb feladatokkal is terhelünk, felkészülnének a GDPR rendelet teljes szövegéből, értelmeznék azt, felmérnék a folyamatokat, illetve azt követően leírnának, számon kérnének mindent, és folyamatosan figyelnék a szabályok betartását. Nekik is kellene oktatásra járniuk, bizonytalanság esetén konzultálni a megbízott ügyvéddel, esetleg IT szakemberrel.
Ha mérlegre tesszük, hogy mekkora költség ez nekünk (munkatársaink több havi bérével nyugodtan számolhatunk), illetve, hogy mekkora ebben a választásban rejlő kockázat, akkor előfordulhat, hogy mégis egy jól felkészült tanácsadó megbízása mellett döntünk. Azt sose felejtsük el, hogy a jó szakember több cégnél eltöltött idő alatt jutott a vállalkozásunknál is alkalmazott gyakorlathoz, nem csak ennek az egy cégnek a gyakorlatát ismeri.
A Crosssec Solutions törekszik rá, hogy tevékenysége során átláthatóbbá, hatékonyabbá és egyszerűbbé tegye a cégek működését. Tanácsadói tevékenységünk magas színvonalát, és javaslataink, kialakított rendszereink mindennapi használhatóságát igazolják az ISO tanúsítványaink, a gyakorlatias folyamat- és kockázatmenedzsment megközelítésünk, több, mint 10 éves kkv környezetben szerzett tapasztalat, a támogató jogi és IT biztonsági szakértői csapat, és az a 103 vállalkozás, amely eddig bennünket választott felkészülési vagy tanácsadói szolgáltatással kapcsolatban.
További információ a GDPR Tanácsadásról
Eredményes felkészülést, jó munkát kívánva:
Sabján Eszter
operatív igazgató