100 nap, ennyi van hátra. Mire elég ez? A piac alapján mindenre. Az elmúlt két év mire volt elég? Na látjátok! Mi a téma? Persze, hogy a GDPR! Mi a GDPR? Ha még nem tudod, keress rá bátran! Jelezz vissza, ha megtaláltad, mert nehéz pontos forrást találni.

Az EU szerint az adatvédelem új korszaka, ahol minden egyszerűbb és átláthatóbb lesz. A cél elfogadható, de lehet, hogy így nehezen elérhető. Jelenleg rendelkezünk egy törvényi szöveggel, de a jogi szöveg mellé semmilyen kiegészítő anyag nem készült.

Több dolgot is sikerült elérni:

• Van egy követelményhalmazunk, amit látszólag mindenki szabadon ételmez.
• Közeledünk a hisztéria felé. Kicsit Y2K érzése van az embernek: mindenki tanácsot ad. Az Y2K azonban pár nap alatt lefutott, a GDPR még itt lesz velünk egy kicsit.
• Nem biztos, hogy az „ész” nyer, így néha nem logikus lépések történnek.

A munkavállalók, kapcsolódó folyamatok, egyszerű kapcsolattartás feltételi is változhatnak, ami jelentős hatással lehet a szervezetek működésére. Partnerek, ügyfelek, gyártók és elérhető fórum információk alapján sajnosöngerjesztő lehet a folyamat. Egyre több és vadabb ötleteket hallunk „GDPR-sértésre”, ami csak növeli az összevisszaságot.

Mindenki ott keres információt, ahol csak tud.

• Pár ötlet nagyon „népszerű” lehet. Pl. a törlés = diszkek darálása. Jogilag rendben van, azonban szinte kivitelezhetetlen. Üzletág minden embere kap levelet a telefonjára, laptopjára, központi levelezés, mentés. Én nem tudok arra felkészülni, hogy akár naponta daráljam ezeket a rendszereket és eszközöket – főleg, mert megosztott rendszerek, s egy kérő miatt nem is sérthetem meg a többiek GDPR által biztosított jogait!
• Sablonos szerződésekkel találkozunk, amit DPA-nak neveznek, de nem sok köze van az „A”, mint megállapodáshoz, hanem inkább diktátum. A lényegük: nem érdekel a GDPR, de mától ez van, s minden a Te felelősséged. Ez nem biztos, hogy a GDPR eredeti célját szolgálja.
  • Szinte mindig egyoldalú, nem ismeri el a kétoldalú megállapodást. Gyártói oldalon főleg. Az én ügyfelem szeretne rendelni, nekem kell kiadnom az ügyfelem adatait, de a gyártó a Controller és semmiért sem vállal felelősséget, még az én adataimért sem. Mondjuk egy konferencia esetében megkérdezik, milyen diétán vagyok, így egészségügyi és vallási adatokat is tárol/kezel rólam a gyártó…
• Öngerjesztés nem biztos, hogy a legjobb, s csak tönkreteszi a helyes kockázatértékelést.

Legtöbb partner esetében a felkészülés döcögve halad. A gyors szüret reményében egy felkészítés vagy tanácsadás párnap alatt lezavarható. Azt ne felejtsük el, hogy a felelősség a szervezeté és nem a tanácsadóé a végén! Egyre több jogi tanácsadó is aktív, ami sokat segíthet, hiszen ők feljogosítottak tanácsadásra, s van felelősség-biztosításuk, meg hasonlók.

Tapasztalatunk az, hogy több fronton érdemes kutakodni:

1. jogi tanácsadás, előzetes felkészítés, interjúk
2. folyamat oldali felmérések, felkészülés. Van vonatkozó GDPR előírás, így közvetlen előnye is van. Másik oldalról sokat segít a szervezet stressz-tűrő képességének felmérésében. Könnyű mondani, hogy holnaptól nincs privát használat, minden USB-t tiltunk, minden weblapot blokkolunk. De ekkor lehet, hogy holnapután nem lesz rendelkezésre álló munkaerő a közelünkben!
3. technikai rendszerek és valós adatok. Valahol vissza kell ellenőrizni a folyamatokat, s valóban el kell tüntetni a marketing adatbázisokat a szétszórt XLS-ekeből. A technikai rendszernek is lehet sajátossága, amit a vonatkozó szakértő ismer csak, pl. az ERP-ből az egyik menüpont exportálja a nyers adatokat CSV-ben a kliensre, stb.

Elméletben jól felkészültünk, de a GDPR gyakorlati oldalról támad a végén. Legtöbb helyen az első, vagy csak az első két lépés valósul meg, aminek gyakorlati haszna kevés, de GDPR oldalról rendben lehet. Nagyon fontosnak tartjuk az oktatást, felkészítést, s közös megbeszéléseket a két lépés előtt. Ha valaki nem tudja, mire kel gondolnia, nem volt meg a kellő képzése és felkészítése, akkor ennek megfelelően fog adatokat szolgáltatni.

Végre azonban megérkeznek a megoldás-szállítók!

Szinte mindegy, mi van a felméréseinkben, de a megoldás a legjobb a piacon és mindenre megoldást biztosít. (S most 100 nap alatt be is vezetjük!) Itt visszatérhetünk régi vállalatirányítási reflexeinkhez, s kereshetünk indokokat.

• a folyamatokra vajon mennyire adtam helyes választ? Le vannak dokumentálva?
• a folyamataim módosítása tudhat segíteni a könnyebb választásban?
• mi az, amit át tudok hárítani, mi az, ami nem feltétlen kötelező?
• 2009-ben vettem pár millió Bitcoint, jöhet a technikai megoldás!

Magamat védem, ha vannak dokumentumaim. Ez az ISO-nak is jót tesz. Ezt utána kiegészíthetem a GDPR elvárásainak megfelelően. Átgondolás, átszervezés azonban mindig kétélű megoldás lesz, mert el kell fogadtatnom. Áthárítás a legolcsóbb és leggyorsabb, de ezt a GDPR és egyéb törvények is szabályozzák – így itt vissza kell térnem a jogászokhoz.

Technikai szintre van egy titkunk, amire 20+ szervezet elemzése után jutottunk. A folyamatfelmérés közel sem 100%-os, főleg technikai adatfeltérképezéssel kiegészítve az eredményeket. Itt – sajnos – igazoljuk a gyártókat: a megkövetelt kontrollok mellé technikai megoldásokat csoportosítunk, akkor hamar arra az eredményre jutunk, hogy „irodai” környezetben közel 90% körüli lefedettségben megfelel ugyanaz a technikai megoldás az eltérő adatokra és folyamatokra. Ezzel sokat spórolhatunk, ha nem szigeteket képzünk. 5-6 megoldás-csoporttal, amiből 3-4 már eddig is elérhető volt látványos eredményeket érhetünk el.

Előkészítés, felmérés, védelmi rész készen van, mehetünk a kasszához – fizetni az első büntetést. A GDPR bár nembiztos, hogy elsőre látszik, de folyamatosságot követel meg. Ne felejtsük el a megfelelő feladatokat és jogköröket kiosztani, üzemeltetni a szükséges folyamatokat, s ráerősíteni a detektív kontrollokra, ha már annyiszor visszatér rájuk a törvény szövege! Valamint a fájó részeket se felejtsük el: a partnerekkel kötött DPA-k tartalmát is be kell tartani, mert kötelező érvényűek, akár indokolt, akár nem a GDPR alapján! Egy jó eGRC rendszer valakinél?