GDPR és az adatvédelem...
Szakmai információk
A GDPR és az adatvédelem a XXI. század első két évtizedének egyik legnagyobb társadalmi, gazdasági és szociológiai kihívása, amely elsősorban a fejlett fogyasztói társadalmakat és nyugati értékek mentén szerveződő és működő országokat (USA, Kanada, Ausztrália, stb.), valamint az EU-t érintette igazán.
A GDPR (General Data Protection Regulation - Általános Adatvédelmi Rendelet), egy az Európai Parlament és Tanács által elfogadott, a magánszemélyek személyes adatainak kezelésével, felhasználásával, tárolásával kapcsolatos feladatokról szóló jogszabálya. Mint általában az Európai parlament rendeletei ez is automatikusan beemelődik minden EU tagország jogrendjébe, tehát kötelező érvényű a hazai vállalkozások és egyéb szervezetek számára.
A probléma senki számára nem jelenthet megkerülhető problémakört a jövőben, és amely az adott vállalkozással, szervezettel kapcsolatba kerülő magánszemélyek személyes adatainak kezeléséről, feldolgozásáról és egyéb funkciókról szól.
Üzletágunk arra vállalkozik, hogy a GDPR kapcsán jelentkező üzleti, jogi és egyéb gazdasági kockázatokat mérsékelje, segítséget nyújtson a követelményeknek való megfeleltetésben és segít a vállalati, szervezeti kultúra átalakításában.
A GDPR kapcsán több olyan területet kell megvizsgálni és átalakítani, amely a vállalatok napi működése során kritikus, összességében üzleti, jogi, vállalat- és rendszerszervezési, valamint informatikai problémákat kell bennük kezelni, leküzdeni.
Üzleti problémák:
- Abban az esetben, ha vállalkozásunk nem felel meg a Rendelet előírásainak, nagyon komoly szankciókkal sújthatóvá válik, pl. üzleti tevékenység felfüggesztése, vagy kiszabható bírságok. A bírságok mértéke ráadásul olyan mértékű tud lenni, amely a vállalkozás számára komoly veszteségeket eredményez, veszélyeztetheti a működését.
- Miután erőteljes konkurencia jelenlét van ma már mindenhol, egy konkurens jól célzott feljelentése rendkívül kellemetlen helyzetbe hozhat minket.
- Harmadrészt versenyhátrányba is kerülhetünk, ha tárgyalási ciklusban nem tudjuk felmutatni a GDPR megfelelésünket, mert előfordulhat, hogy konkurenseink viszont igen, amely a kiválasztásnál, döntésnél befolyásoló szempont lehet
- Nem megfelelő módon kiválasztott alvállalkozói megállapodások, vagy nem megfelelő üzleti szerződések esetében a kockázat ránk is hárulhat a GDPR miatt, vagyis úgy kerülhetünk joghátrányba, hogy nem mi vagyunk annak előidézői. Márpedig ez könnyedén előfordulhat, ha olyan személyes adatok folynak akár felülről, akár alulról rajtunk át, amelyekben az elvégzett szolgáltatásnyújtás, vagy termékértékesítés kapcsán, nem nálunk keletkezett adatok felhasználásából adódik a kockázat.
- Márka- és brandépítés nagyon erős hívószava lehet ma már a GDPR, ha kimaradunk, lemaradunk.
Jogi problémák:
-A Rendelet alapvetően olyan kultúrából érkezik, ahol a precedens jog nagyon domináns, emiatt, a Rendelet jelentős Preambulummal bír. A Preambulum rögzíti a Rendelet szellemiségét, nagyon részletes fogalommagyarázattal és általános erejű kérdésekkel foglalkozik. A vállalkozások és egyéb szervezetek ezáltal olyan jogi környezetben kell, hogy boldoguljanak, amely nem megszokott, ugyanis a jogszabály nem segít minket azzal, hogy nagyon részletesen, nagyon aprólékosan leírják feladatainkat, sőt, nincsenek végrehajtási rendeletek sem, vagy jogértelmezési nyilatkozatok sem. Arra kényszerít rá minket a jogszabály, hogy döntéseket vállaljunk fel, döntsük el, hogy miként építsük fel a GDPR megfeleltetésünket a legapróbb területekig. Vagyis nagyfokú jogérzék és önállóság szükséges a megfelelés eléréséhez, majd a rendelkezésre álló információk birtokában és a kialakult szokásjognak megfelelően folyamatosan igazodnunk kell a szabályokhoz.
-Jelentősnek mondható a szerződések átalakításával kapcsolatos feladatok száma (alvállalkozói szerződések, munkaszerződések), nagyon komoly mértékűek a szabályzatok és protokollok elkészítésének jogi kötelezettsége (incidensek kezelésére, általános adatkezelésre, hozzáférési jogosultságok kezelésére, stb.), valamint a nyilvántartások kialakításának rendszere.
-Nagy odafigyelést igényel a munkajogi része a GDPR-nak, a munkavállalókra vonatkozó adatkezelések.
-Komoly jogi feladat annak kibontása is sok esetben, hogy milyen személyes adatok kezelésére vagyunk jogosultak, illetve mihez nincs meg a jogunk, még akkor sem, ha a jogalapunk esetleg meg is van hozzá. Pl. ha nem tudjuk biztosítani a személyes adatok védelmét IT biztonsági eszközökkel, akkor nem lesz jogunk tárolni még akkor sem, ha elvileg a jogszabály lehetővé tenné, tehát jogalapot biztosítana számunkra.
-Vannak esetek, amikor jogszabályi kötelezettségünk az adatok megléte, pl. munkaügy, viszont itt is fontos annak meghatározása, hogy pontosan milyen adatok kerülhetnek nálunk tárolásra, mi az ami feleslegesen van nálunk.
Vállalati- rendszerszervezési és/vagy IT problémák
- Nem kérdés, hogy valamilyen számítástechnikai háttér nélkül ma már nincs üzleti vállalkozás. Vagyis valamilyen mértékű IT biztonsági kockázatnak minden szervezet, vállalkozás ki van téve. A GDPR megköveteli azt, hogy ahol személyes adatokkal kapcsolatos elektronikus adatfeldolgozás, adatkezelés, vagy akár csak tárolás is történik, ott biztosítani kell a megfelelő kontrollt a rendszerek felett
- Komoly problémákat okozhat, ha a meglévő kialakult akár több éves folyamatokon kell változtatni, amelyek munkaszervezésbeli átalakításokkal járhatnak.
- Nem mindegy, hogy milyen IT üzemeltetési rendszerünk van, a levelezés hogy történik, milyen szervereink vannak, azoknak milyen védelmi rendszerük van.
- A hozzáférések és összeférhetetlenségek kezelésére hierarchizált rendszert kell létrehozni, hogy csak olyanok férhessenek hozzá a személyes adatokhoz, akik közvetlenül érintettek a munkájukból, egyéb feladatukból adódóan, szükséges számukra az adat. De csak akkora mértékig jussanak adatokhoz, amely valóban a munkájukhoz szükséges, azon túl ne.
- Talán a legnehezebben kezelhető a törlések problémája. A GDPR lehetőséget biztosít a magánszemély számára, hogy kérhesse és meg is győződhessen arról, hogy személyes adatait törölje az adott cég, és meg is bizonyosodhasson arról, hogy a törlés valóban megtörtént. Ennek megvalósítása olyan rendszereknél, ahol szanaszét, mindenféle struktúra nélkül állnak a személyes adatok a rendszerben szinte képtelenség megfelelni, ennek megszervezése és IT vonalon kialakítása nagyon komoly feladat.
- A netes adatszerzések, a honlapok látogatásairól szóló riportok szintén komoly kockázatot jelentenek, mármint a vállalkozásunk számára abban az esetben, ha nem tájékoztatjuk megfelelően a látogatót arról, hogy márpedig mi figyeljük őt és elemezzük azt, amit a honlapunkon csinál.
Miről szól a szolgáltatás
A GDPR keretében a legelső feladat a kockázatok feltárása, az adatvagyon, vagy adatállományok feltérképezése, amely révén definiálhatók azok a problémák, amelyeket meg kell oldanunk.
Ezt hívjuk auditnak. Az audit időigénye, munkaigénye minden partnerünk esetében más és más, tehát nem lehet, sőt nem szabad általánosítani arra vonatkozóan, hogy mennyi ideig tart az állapot felmérése és rögzítése.
Időt vesz igénybe az audit során tett megállapítások feldolgozása, a kinyert információk alapján a kockázatok kiértékelése, majd ezt követően történik meg a javaslatok kidolgozása.
Az ügyféllel történt konzultációk eredményeképp történik az meg, hogy elkészülnek a szükséges dokumentumok, elkészülnek az IT változtatások, megtörténnek azok az oktatások, amelyek felhívják az adatkezelők, adatfeldolgozók figyelmét arra, hogy mi is a GDPR.
Ezt követően pedig a változtatások megvalósítása is elkezdődik, megvalósulnak az esetleges szervezeten belüli átalakulások.
Nagyon fontos kiemelni, hogy a GDPR tulajdonképpen soha véget nem érő folyamat. Vagyis, soha nem leszünk, és nem lehetünk készek. Azt, hogy megfelelünk-e GDPR-nak, kontoll alatt kell tartani, tehát szükség van a folyamatos felülvizsgálatokra. A felülvizsgálatok azért is szükségesek, mert ha a jogszabályok változnak, vagy a meglévő jogszabályok kapcsán elindulnak a jogértelmezések, a jogalkalmazási javaslatok, vagy a szokások, akkor ezekhez az ügyfeleknek is idomulniuk kell, el kell azokat fogadniuk.
Szolgáltatási áraink
A szolgáltatásoknál leírt folyamatokból látható, hogy meglehetősen összetett lehet annak meghatározása, hogy mekkora nagyságrendű munka, milyen mélységű jogi, vagy IT szakértői munkára van szükség a GDPR-nak való megfelelés során. Ezért van az, hogy áraink az ügyfelekkel történt egyedi megállapodások során tudnak kialakulni.
Az audit, abban az esetben, ha folyamatos együttműködés alakul ki a felek között, ingyenes.
A szakértők bevonása abban az esetben, ha folyamatos az együttműködés, rendkívül kedvezményes, akár ingyenes is lehet, a munkaóráktól függően.
Csapatunk
Jelenlegi csapatunk felépítése a következő:
2 fő DPO (Adatvédelmi tisztviselő, akkreditált) segít az ügyfeleknek az általános átvilágításban, a GDPR általános megértésében, az audit elvégzésében
2 fő jogász, egyikük évtizedes gyakorlattal rendelkező ügyvéd, másikuk szabályozatok és rendszerezett dokumentumok, szerződések kidolgozásában szerzett évtizedes gyakorlatot
2 fő IT szakértő, egyikük webes és szoftveres területen szerzett tapasztalatokat, illetve jelenleg is szolgáltató, másikuk hardver oldalon és rendszerüzemeltetésben rendelkezik referenciákkal közel tíz év alatti munkájáról
Természetesen kollégáink személyesen is bemutatásra kerülnek a projektben.
VI. Összefoglalás
Összefoglalásként kiemelnénk, hogy a GDPR megfelelő szolgáltatón keresztüli igénybevétele a cégek számára jelentős kockázat csökkentést eredményez. Egyrészt mert mentesül a cég az esetleges bírságok, büntetések alól, másrészt a kollégáik arra koncentrálhatnak, ami a feladatuk, a megfelelő együttműködő partner ráadásul magasabb színvonalat képes biztosítani. A GDPR a XXI. századi életünk meghatározó területe, így mindig kiemelt figyelmet fordítanak rá a hatóságok és a legtöbb vállalkozás is, mert megfelelő prevencióval elejét lehet venni nagyon sok problémának, amelynek utólag súlyos anyagi konzekvenciái vannak.
A velünk való együttműködés során szolgáltatásunk tartalmában lehetnek különbségek, annak függvényében, hogy a teljes körű kiszolgálás, a tehermentesítés, az általunk vállalt kártérítési felelősségvállalás, a kötelező átdolgozások és szakértői munkák (IT, jogi, stb.) mekkora terhet jelentenek cégük számára.
Reméljük lehetőségünk nyílhat arra, hogy személyes konzultáció keretében személyre szabott módon tárhatjuk fel vállalkozásuk működésében rejlő kockázatokat. Azt is reméljük, hogy segítségükre lehetünk a feltárt kockázatok csökkentésének, vagy megszüntetésének módszertanában.
Komolyan vesszük missziónkat, hisz olyan szolgáltatásokat nyújtunk, amelyek megkövetelik a professzionális tudást, ez a tudás lehet megalapozója annak az elismerésnek, amelyet partnereinkkel való együttműködés során alakulhat ki, és a felek közötti respekt az, amely a bizalom légkörét teremtheti meg.
Hisszük, hogy egyre több vállalkozás, vállalat ismeri fel szükségét annak, hogy a XXI. század éles piaci versenykényszerében minden megszerzett tudás, a professzionális management módszerek alapvető és megkerülhetetlen elemei a siker felé vezető útnak. Henry Ford-ot idézve:
„Összejönni – kezdés. Együtt maradni – haladás. Együtt is dolgozni – siker.”
A célunk, hogy a hibás feltételezések számát minimalizálja, hogy az értékes üzleti folyamatokra segítse rávezetni Partnereit.
Feltett szándékunk, hogy többletet nyújtsunk Ügyfeleinknek, hogy mi kezdeményezzünk, új ötletekkel és javaslatokkal segítsük munkájukat alapvetően a pénzügyi és folyamatmenedzsment területén.
Reméljük, Önnek is bizonyíthatunk!
Jagodits Rómeó
ügyvezető