A GDPR minden vállalkozást érint

Ez gyakorlatilag az összes vállalkozást érinti a legnagyobbaktól az akár csak egy alkalmazottat foglalkoztató legkisebbekig. Az átgondolt felkészülést a szakemberek a kis cégeknél is 6-8 hónapra taksálják. Akik még nem kezdték el, az utolsó utáni órákra kaphatnak egy listát a legfontosabb átgondolandó kérdésekről és lépésekről a papíralapú adatvédelemmel foglalkozó Fellowes cégtől.

Megfordul a bizonyítási teher

Az új adatvédelmi rendelet betartásánál a legnehezebb talán azt a szemléletváltást meglépni, hogy megfordul a bizonyítási teher. Májustól nem a magánszemélyeknek és a hatóságnak kell bizonyítani, hogy a vállalat megsértette az adatkezelési rendeletben előírtakat, hanem a cégeknek kell igazolniuk, hogy helyesen kezelik a náluk jogszerűen fellelhető adatokat, illetve a feleslegessé váló vagy illetéktelenül birtokukban lévőket megsemmisítik.

„Az új rendelet alapelveinek bevezetése tehát az eddigiektől némileg eltérő megközelítést igényel. Először is meg kell érteni, hogy ez vállalati szinten majdnem minden területet érint, nem korlátozódik csak a jogi, IT vagy HR osztályokra. Másrészt azzal az attitűddel kell szakítani, hogy minél több adatot minél szélesebb körben osszunk meg. Májustól csak az férhet az adatokhoz, akinek arra a rendelet értelmében megokolható jogosultsága lesz. Fontos kiemelni azt is, hogy az új szabályozás épp úgy vonatkozik a papíralapú adatokra, mint a digitálisan kezeltekre, és nem elég csak a májusi indulásra felkészülni, ez onnantól folyamatos adatvédelmi feladatokat ró majd a vállalkozásokra.”

– hangsúlyozza Kreutz László, a Fellowes Hungary ügyvezetője.

A legfontosabb tanácsokat a Fellowes pontokba szedte, hogy ezzel is segítse a felkészülést

1. Végezzen adatvédelmi hatásvizsgálatot! Először is azonosítsa be, hogy mi számít személyes adatnak. Csak olyanok legyenek a cége birtokában, amelyekre bizonyíthatóan szükség van és jogszerűen jutott hozzá;
2. Készítsen eltérés-elemzést, nézze meg, hogy cégénél milyen eltérések vannak az eddigi adatkezelési gyakorlatban a GDPR-ban előírtakhoz képest;
3. Dolgozzon ki olyan megoldásokat és mielőtt megvásárolná vagy bevezetné, tesztelje azokat, amelyekkel a jövőben eleget tud tenni a GDPR-nak;
4. Győződjön meg róla, hogy rendelkezik a már szükségtelen adatok biztonságos megsemmisítésére vonatkozó gyakorlattal és eszközökkel; a biztonság kedvéért helyezzünk el iratmegsemmisítőket a nyomtató és fénymásoló mellé, valamint a vezetői irodában
5. Határozza meg, hogy kinek, milyen adatokhoz lehet jogszerű hozzáférése a cégnél, gondoskodjanak a megfelelő tárolásról;
6. Bizonyosodjon meg róla, hogy az új alapelvek, mint a kifejezett hozzájárulás, az adatok törlésére való jog, az adathordozhatósághoz való jog és a tiltakozáshoz való jog, mind szerepelnek az ügyrendi szabályzatokban;
7. Dolgozzon ki eljárásmódot az adatvédelmi incidens jelentésére és elhárítására. Próbálja ki ezt úgy, mintha tűzvédelmi gyakorlatot tartana;
8. Vizsgálja át a vállalatánál megtalálható szerződéseket, beleértve a beszállítói szerződéseket is. Győződjön meg róla, hogy az adatvédelem terén a beszállító partnereivel szemben vannak szerződéses jogai és ragaszkodjon is ezekhez. A beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést;
9. Külön rendelkezni kell arról, hogy harmadik félnek milyen adatokat lehet átadni;
10. Indítson adatvédelmi képzést a kollégáinak, vegye fontolóra adatvédelmi biztos kinevezését;
11. Rendszeresen vizsgálja meg, hogy meg tud-e felelni cége a GDPR-nak, azonosítsa az esetleges problémákat és orvosolja azokat;
12. Számoljon azzal, hogy májusig ez egy intenzív felkészülési szakaszt jelent cége életében, el kell végezni a selejtezést és gondoskodni kell a fölösleges iratok biztonságos megsemmisítéséről. Május után pedig folyamatosan kell végezni ezt a tevékenységet, hogy cége eleget tudjon tenni a GDPR-ban előírtaknak.