Segítség a belsős, GDPR-kompatibilis adatvédelmi szabályzat kialakításában

Mit kell tartalmaznia a belsős adatvédelmi és adatkezelési szabályzatnak?

Infók azoknak, akik biztosra akarnak menni a GDPR kapcsán.

A szabályzatnak igazából eljárásrendnek kell lennie, ami megadja a process-t a különböző eseményekhez. Hogy ezt magas színvonalon tudjuk létrehozni és mindent lemodellezni már jó előre, ahhoz kell:

  1. Kissé paranoiás képzelőerő – nyugodtan képzeld el a lehető legborzalmasabb eseteket, és a dokumentumban készülj fel azokra. Így a sima hétköznapi események bolhacsípésnek sem fognak tűnni, és kisujjból ki lehet rázni a kezelésüket – természetesen a szabályzatot szem előtt tartva, annak minden pontját betartva.
  2. Tapasztalat – ha már hallottunk-láttunk-tapasztaltunk bármi olyasmit, ami adatokkal és adatvédelemmel kapcsolatos – például egy adatvesztésről szóló hír valamelyik hírportálon -, akkor nyugodtan végig lehet gondolni saját szemszögünkből az esetet, és ha az az esemény bármelyik céggel vagy weboldal tulajdonossal előfordulhat, akkor bele kell venni a saját szabályzatba is.
  3. Proaktív szemlélet – helyezzük a hangsúlyt a megelőzésre, és igyekezzünk nem elkövetni azokat a hibákat, amik Murphy törvénye szerint bármikor a nyakunkba szakadhatnak. Pontosabban: igyekezzünk a problémákból eredő katasztrófákat megelőzni. Mert a problémák bárhol és bármikor előfordulhatnak, de nagyon nem mindegy, hogy hogyan reagálunk rájuk.
  4. Az utólagos korrekciók – lehetséges, hogy előre nem számolunk valamivel, ami a gyakorlatban mégiscsak be fog következni. Ilyen eseteknél az adatvédelmi és adatkezelési szabályzatunkat frissíteni kell a megtörtént események alapján.
  5. Igazából ez egy vélhetően folyamatosan és rendszeresen frissülő szabályzat lesz, ami teljesen természetes, hiszen az adatokkal kapcsolatos szabályok is még csak most fognak létrejönni, finomodni, tisztulni EU és világszinten. Tehát ha azt hitted, hogy egyszer megcsinálod és készen is vagy, az tévedés. Érdemes belevenni a szabályzatba külön pontként azt is, hogy rendszeres felülvizsgálatot igényel maga a szabályzat, és ennek következő időpontja: Év-hónap.

A hivatalos részek és adatok

  1. A belsős adatvédelmi szabályzatban benne kell lennie a cég minden adatának, és a tisztségviselőkének is.
  2. Nem árt bele a KÜLDETÉS, vagyis az, hogy megfogalmazzuk, milyen értékrend mellett kötelezzük el magunkat. (Felelősségteljes gondolkodás, adatok maximális védelme, kommunikáció magas színvonala, stb.)
  3. A felelősök megnevezése. Nem kell név szerint, hogy ha mondjuk, egy munkatársunk pozíciójához hozzátartozik az adatvédelemmel kapcsolatos összes feladat, pl. az ügyvezetőéhez. Érdemes olyan munkakörre testálni ezt a feladatot, ahol valódi döntéshozatali jogkör van, mert ez – ahogy a körülötte lévő felhajtásból is látszik – nagy felelősséggel jár.
  4. A szabályzat karbantartásának felelősét is érdemes megnevezni, mert maga az adatvédelem és a szabályzat két külön történet, bármennyire is összefüggnek. Nem ugyanaz létrehozni a szabályokat és nem ugyanaz betartaTni. Más kompetenciákat kíván alkalmazni a szabályokat és más kompetenciát kíván azokat értelmesen leírni, és a logikájukat kitalálni. Ha mindenre csak egy embered van – te magad például 🙂 – az nem katasztrófa, sőt, kommunikációs kihívások szempontjából még ez a legtisztább helyzet, de ilyenkor nagy veszélye van a hanyagságból eredő hibáknak, szóval ilyenkor duplán-triplán résen kell lenned.
  5. Hatályba lépés időpontja, és hogy meddig érvényes.

A témakörök, amiket érdemes végigmodellezni a belsős adatvédelmi szabályzatunkban

Olyan részletesen, amilyen részletesen csak lehet, minden lehetséges kósza gondolatra kitérve.

  1. Az adatok gyűjtésének mikéntje és hogyanjai – részletesen leírva az összes lehetséges módozatot az opt-in feliratkozástól kezdve a névjegykártyás adatközlésen keresztül a szóbeli információátadásig (van, aki az email címét szóban fogja nekünk megadni).
  2. Hogyan definiáljuk, és hogyan működik a gyakorlatban az önkéntes adatszolgáltatás? – például a feliratkozóink és ügyfeleink részéről, de ide sorolhatjuk az üzleti partnereinket is. Kicsit bele lehet menni a technikai részekbe is. (Vannak, akik adnak-vesznek adatokat, ők tegyenek bele még plusz pontokat a szabályzatba ezek ügyében.)
  3. Hogyan tájékoztatjuk az érintetteket? – akiknek az adatait kezeljük az adatkezelési metódusainkról (pl. nyilvános adatvédelmi szabályzat, amit mindenki elfogad, mielőtt még komolyabb „viszonyba” bonyolódnánk – weboldalon, emailben láttamozva, papíron aláírva, szignózva a megismerést és a hozzájárulást.)
  4. Az adatok tárolásának mikéntje és hogyanjai – hol, hogyan, meddig, milyen formában
  5. Az adatok biztonságára vonatkozó játékszabályaink részletes leírása – ssl, tűzfal, vírusvédelem, adatmentés – backup – gyakorisága és részletes leírása, titkosítás, letöltésre-feltöltésre vonatkozó szabályok, stb.
  6. Adatok létrehozásának mikéntjei és hogyanjai (a weboldalhoz és a vállalkozáshoz is jönnek létre személyes adatok, nemcsak a feliratkozóknak és ügyfeleknek vannak olyanjaik).
  7. Szolgáltatók, akiket igénybe veszünk és a velük kapcsolatos elvárásaink – hírlevélküldő, crm rendszer, felhő-szolgáltatások, stb.
  8. Adatok felhasználásának mikéntjei és hogyanjai – mire használjuk őket és mire nem. (Pl. feliratkozók email címeit kizárólag címzettekként használjuk)
  9. Adatok törlésének mikéntjei és hogyanjai
  10. Az érintettek lehetséges köre – akiknek az adatait kezeljük, vagy, mert megadták, vagy mert kénytelenek vagyunk (pl. a számviteli törvény kötelezően előírja) az adataikról hogyan szerezhetnek tudomást, mi ennek a módja. Az összes szóba jöhető érintettet fel kell sorolni, nemcsak azokat, akikkel tényszerűen az elmúlt héten tényleg volt konkrét esetünk.
  11. Email küldési szabályok – különös tekintettel az email továbbküldési szabályokra.
  12. A munkakörökkel és munkafolyamatokkal kapcsolatos különleges esetek – pl. alvállalkozó csinálja a weboldaladat, és hozzáfér minden adathoz. Ezt hogyan szabályozod? Ki minek a felelőse? Stb.
  13. Riportozási szabályok – mikről készítünk külön kimutatást az adatvédelemmel kapcsolatban, és milyen gyakorisággal, ki készíti el, stb.
  14. Az adatvédelmi krízisek definíciója – mi minősül krízisnek és mi nem? Itt nagyon szőrös szívűnek kell lenned, pl. ha kirúgsz egy alkalmazottat, és elvisz ügyféladatokat, akkor a rendőrségen is feljelentést kell tenned, meg a NAIH-nál is lesz majd krízisek bejelentésére felület. Ezekkel magadat is véded a millió-eurós bírságoktól. Ezt a részt nevezik hatástanulmánynak is, tehát végig kell modellezni minden előfordulni képes eseményt – lásd Murphy törvénye.
  15. A krízisek elhárításának első három, azonnali lépése. Mit teszünk, ki teszi, hogyan teszi, milyen erőforrások felhasználásával, és mennyi idő alatt?
  16. A krízisek elhárításának további lépései, avagy az első ponthoz képest milyen lépések jöhetnek még szóba. Cél az, hogy soha többé ne forduljon elő az a konkrét hiba, és azért van külön ez a két pont, hogy érzékeltesse, hogy van egy azonnali válaszcsapás, meg van egy hosszabb távú célokat kitűző pont is a kríziskezelésben.
  17. Krízis bekövetkezte után mennyi idővel és milyen módon végzünk vissza-ellenőrzéseket – arról, hogy az elhárításra és megoldásra tett lépéseink milyen rövid és hosszútávú eredményekkel jártak. Hogyan végezzük a vissza-ellenőrzéseket, ki végzi, stb. Érdemes checklistákat létrehozni, és nagyon szigorúan végigmenni rajtuk, hogy tényleg mindent megtettünk, amit megtehettünk.
  18. Rendszeres belső adatvédelmi audit – egy nagyon részletes checklista, aminek minden elemét rendszeresen át kell tekinteni, és pipálni ami megvan, javítani, ami nincs meg. Mikor csináljuk, ki csinálja, hogyan csinálja, mi alapján csinálja, mi az eljárás hibák esetén? Mi az audit célja? (hány %-ot kell elérni? 99,95%-ot javaslok becélozni, ha ez alatt teljesítünk, az nagyon nagy baj, mert azt jelenti, hogy kb. minden századik ember adataival kapcsolatban krízis fog bekövetkezni a weboldalunkon és/vagy vállalkozásunknál.) Amikor napi 200 látogatónk van az oldalon, vagy van már 10000 feliratkozónk, ez azt jelenti, hogy naponta több adatvédelmi krízisre is óriási az esélyünk, ami egyenlő lehet a napi többszöri, ránk kirótt büntetéssel is. (Utálom, hogy büntetéssel riogatnak, de sajnos tény.)
  19. Milyen dokumentumokat vezetünk a krízisek és belső auditok kapcsán? – nehogy azt érezd, hogy letudtad a munka dandárját, mindent papírozni kell.
  20. Egyéb törvényi hivatkozások és kapcsolódó szabályok – mi az, ami még hat erre az egészre a GDPR-on kívül? Pl. a számviteli törvény? Adójogi törvények? Polgári törvénykönyv? Az iparágat szabályozó törvények és rendeletek? Bármi is van még a pakliban, ha ezeket behivatkozod, azok téged védenek a GDPR visszásságai ellen. De ezek tényleg vonatkozó jogszabályok legyenek, pontos jogszabályhelyekkel. (törvény/rendelet, paragrafus, bekezdés, X. pont)
  21. Egyéb cégen belüli kapcsolódó szabályok – amik kiegészítik és erősítik ezt a szabályzatot (pl. a szigorú számadású dokumentumok kezelésének belső szabályzata, bármennyire is utálatos és feleslegesnek tűnik, most jól fog jönni, ha be kell hivatkozni, de ugyanilyen jó pont a szervezeti működési szabályzat, ha van ilyenünk.)

Hirtelen ennyi.

A GDPR gyakorlati működése és a precedensek alapján ez a szabályzat bővülhet, finomodhat, még részletesebbé válhat, de ennél kevesebb, egyszerűbb és vázlatosabb vélhetően soha nem lehet már.

Leave a Reply

Your email address will not be published. Required fields are marked *