Tanácsadóknak is kötelező a GDPR rendelet betartása – Avagy tényleg nem csak egy bekezdés kell a szerződésben?
Nem tudok a témáról a személyes érintettségemet kizárva írni. A Crosssec Solutions is nyújt a GDPR rendeletnek való megfelelés biztosításán túl egyéb tanácsadási szolgáltatásokat. Ezekben az esetekben nemcsak üzleti titoknak minősülő információkhoz, de számos személyes adathoz is hozzájuthatunk, mert szükség van rájuk a vállalásaink teljesítéséhez: elemzések, vezetői döntéselőkészítő anyagok, kontrolling rendszerek és még sorolhatnám.
Nemrég kezdtünk egy új megbízást, ahol a Megbízó az alábbi kérdéseket intézte hozzánk az anyagok átadását megelőzően: “Hogyan tároljátok ezeket az adatokat, amiket megadunk? Hogyan biztosítjátok, hogy ne kerüljön illetéktelen kezekbe? Power BI-hoz tudunk adni hozzáférést, amennyiben a tanácsadó személyes fiókja MFA-val (Multi-Factor Authentication) ellátva. Be van ez vezetve nálatok?” És én kicsit sem lettem haragos, nem voltam meglepett, sőt, kimondhatatlanul örültem a kérdéseknek! Nemcsak azért, mert vannak kész válaszaink, amelyek a mindennapjainkban is működnek, hanem azért, mert látom, hogy a megbízók is egyre tudatosabbak és felkészültebbek az adatvédelmi és információbiztonsági kérdésekben.
Mi csak a kapcsolattartói adatokat kezeljük, azok meg nem személyes adatok
Na, igen. Talán ezt a felmentési indokot halljuk a legtöbbször, 6 évvel a GDPR rendelet magyarországi hatályba lépését követően is, ami tényszerűen nem állja meg a helyét. Azonban pont a szerződésben vállalt feladatainak teljesítése érdekében kezel a legtöbb tanácsadó szervezet személyes adatokat. A teljesség igénye nélkül: a könyvelő és a bérszámfejtő a munkavállalókkal kapcsolatos mindennemű személyes és különleges adatot; a kontrolling, a pénzügyi és az üzletviteli tanácsadó a teljes munkavállalói csokrot, illetve gyakran még az ügyfelekhez kapcsolódó személyes adatokat is; a trénerek, szervezetfejlesztők nemcsak a már rendelkezésre álló személyes adatokat, hanem maguk is előállítanak különböző személyiségtesztek, elemzések során újabbakat. Összegezve tehát, egészen biztosan nem csak a kapcsolattartói adatok bizalmasság-sérthetetlenség-integritás hármasát szükséges biztosítani.
Kiegészítve, aláírva, de a gyakorlatban működtetve?
A GDPR rendelet 2018-as hatályba lépésekor úgy tűnt, hogy sokan jó megoldásnak tartják, ha a szerződéseiket kiegészítik egy adatvédelemre vonatkozó bekezdéssel. Szövegezés szerint minden “szervezési és technikai intézkedést” megtesznek annak érdekében, hogy a személyes adatok biztonságban legyenek. De ez ma már kevés megbízónak elegendő (a hatóságnak pedig soha nem is volt az). Gondoljunk csak arra, hogy akár mi magunk, akár ismerőseink naponta hány olyan csaló hívást kapnak, ahol a hívó fél tökéletesen tisztában van személyes adatainkkal. Ez pedig egy módon vált lehetségessé: illetéktelenül hozzájutottak, tehát a “szervezési és technikai intézkedések” nem voltak megfelelőek, talán csak papíron léteztek. Ebből a félelemből táplálkozva a megbízóknál is helyesen jelennek meg a fentiekhez hasonló kérdések, mert az üzleti titkaikhoz hasonlóan a személyes adataikat is biztonságban szeretnék tudni.
Nincs kész megoldás
A GDPR rendelet, az ISO-szabványokhoz hasonlóan nem mondja meg, hogy hogyan alakítsd ki a rendszert. Nem köti ki, hogy egy kis-, közép- vagy nagyvállalatnak ugyanúgy kell eljárnia egy-egy folyamat során. Viszont a GDPR rendelet elvárja, hogy gondoljuk végig folyamatainkat, legyünk tisztában az adatkezelésben résztvevő szereplőkkel (akár munkatárs, akár külső szolgáltató esetén) és a folyamatok megvalósítását támogató szoftverekkel. Helyezzük figyelmünk középpontjába a személyes adatok védelmét, és annak megfelelően válasszunk beszállítókat, hogy ezt általuk is biztosítani tudjuk. A néha apróságnak tűnő megoldások is nagy eredményeket hoznak, ha az adatkezelés során megteszünk minden szervezési és technikai intézkedést. Nem kizárólag a rendelet elvárásai miatt, hanem a belülről fakadó igényesség miatt, mert ez presztízs és versenyelőny is egyben.
Amennyiben Ön is úgy érzi, hogy szeretné tudatosítani az adatvédelmi elvárásokat vállalkozásán belül, keressen bennünket bizalommal! Tanácsadóink sok éves információbiztonsági, adatvédelmi és folyamatfejlesztési tapasztalattal állnak rendelkezésére, hogy az Ön vállalkozására szabott, életszerű, gyakorlatban is könnyen megvalósítható megoldásokat készítsenek.