cvonline.hu
gdpr-a-bevezetes-elso-lepesei_440x200Jelen cikkünk megjelenésekor már kevesebb, mint két hónap maradt, hogy minden cég, kis- és nagyvállalat felkészüljön a GDPR által megfogalmazott adatkezelési szabályok betartására és betartatására. Cikksorozatunk második részében most összefoglaljuk a legfontosabb lépéseket annak érdekében, hogy elkerülhető legyen az új szabályok esetleges megszegéséből eredő bírság.

Oktatás, ismertetés, tudatosság

Mint minden új rendszer bevezetése előtt, így ebben az esetben is a legfontosabb, hogy alaposan ismerjük, miről is szól és mit vár el tőlünk a május végén bevezetésre kerülő új szabályozás. Legyünk tudatos adatkezelők, és ha munkánk kötelez rá, adatfelhasználók. Fontos tudnunk, hogy milyen adatokat, hol, mennyi ideig tárolunk, és milyen célból tesszük azt. Legyünk tisztában a jelenlegi rendszereinkkel és folyamatainkkal, majd tegyük GDPR kompatibilissé azokat. Érdemes lehet ehhez szakértők, így jogászok vagy IT biztonsági tanácsadók véleményét is kikérni. Beosztottjainkat igazolhatóan oktatásban kell részesítsük, hogy megértsék és alkalmazni tudják a GDPR elvárásait. Habár egy az adatkezelést tekintve következetesebb, szélesebb körű és szankcionáltabb szabályozás lép életbe, érdemes tisztában lennünk azzal is, hogy mik azok a hamis mítoszok, amik e téren keringenek a köztudatban. Ilyen például, hogy nem feltétlen kell minden adatot titkosítani. Érdemes tehát alaposan utána néznünk, hogy mik azok a szenzitív adatok, amik esetében a GDPR valóban lépéseket vár el. Az új szabályozás kiterjeszti a definíciót az online azonosítók vagy akár az IP-címek bevonására is, így ezeket mostantól személyes adatoknak kell tekinteni. Ugyan csak ebbe a kategóriába tartoznak többek között a gazdasági, kulturális, genetikai vagy mentális egészséggel összefüggő információk is. Tehát bármilyen adatokat is kezeljünk, ajánlott utánanézni, nem érintik-e ezeket is a GDPR szabályai.

Adatkezelő vagy adatfelhasználó

Gyakorlatilag nincs olyan munkahely vagy vállalat, legyen az kicsi vagy nagy, amely ne minősülne adatkezelőnek, hiszen ha mást nem is, de a saját alkalmazottjainak adatait gyűjtenie és tárolnia kell, történjen ez automatizáltan vagy sem. Összegezve az adatkezelési műveleteket, a következőkről beszélhetünk: tárolás, felhasználás, továbbítás, hozzáférhetővé tétel, terjesztés, korlátozás, törlés, megsemmisítés, gyűjtés, rendszerezés, rögzítés vagy megváltoztatás. Az adatkezelő tehát az a természetes vagy jogi személy vagy ügynökség, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A HR-ben mindez annyit tesz, hogy a munkáltató az, aki meghatározza, hogy egyes személyes adatokat milyen célból és milyen eszközzel kezelnek. Sok esetben erre az adatkezelésre jogszabály kötelezi a munkáltatókat. Az adatfeldolgozó fogalma ettől eltérő. Ő olyan jogi vagy természetes személy, aki az adatkezelő nevében személyes adatokat kezel. Fontos, hogy az adatkezelő olyan adatfeldolgozókat vegyen igénybe, amelyek megfelelő biztosítékot adnak arra vonatkozóan, hogy a rendelet követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják, ideértve az adatkezelés biztonságát is.

Korlátozott tárolhatóság és elszámoltathatóság

Kiemelendő két olyan fogalom, amik a GDPR-ral lépnek életbe. Az egyik a korlátozott tárolhatóság. Főleg HR-es szakemberek, ezen belül a HR tanácsadók, közvetítő és karrierportálok fő módszere, hogy a beérkező önéletrajzokat gyűjtik, megőrzik, tárolják. Legmegfoghatóbb megfogalmazás, ha kiemeljük, egy bizonyos pozícióra beérkezett önéletrajzok összessége csakis addig tárolható, míg az adott pozícióra a megfelelő szakembert meg nem találták. Ezután való tárolására egyedül abban az esetben kerülhet sor, amennyiben a személyes adatok kezelésére például statisztikai célból van szükség. Ennek az elvárásnak a biztosítása érdekében a munkáltatónak mindenképpen ajánlott bizonyos törlési vagy rendszeres felülvizsgálati határidőket megállapítania.
Az elszámoltathatóság alapelve szerint az adatkezelőnek gondoskodnia kell olyan belső szabályok, mechanizmusok kialakításáról, amelyek a rendeletből fakadó kötelezettségek teljesítéséhez szükségesek, és mindezt olyan módon kell tennie, hogy a szabályok betartása igazolható legyen.

Lesz még folytatás

Eddigi két cikkünkben igyekeztünk az általános fogalmaktól eljutni a GDPR bevezetésének első tudatos lépéséig. Tisztáztuk, hogy bár minden cégnek és vállalatnak tisztában kell lennie az adatkezelés metódusával, mégsem minden adat minősül a GDPR megítélése szerinti személyes adatnak, így nem kell feltétlen titkosítani és kiemelten kezelni azokat. Cikkünk következő részében olyan fogalmakat és folyamatokat elemzünk, mint az adatkezelők és az adatfeldolgozók közötti szerződések vagy, hogy a GDPR alapelvként rögzíti, hogy a személyes adatoknak az Unión kívülre történő továbbítása esetén sem sérülhet a természetes személyek EU-ban biztosított védelme. Emellett említést teszünk majd a jogorvoslatról, kockázatelemzésről és az adatvédelmi hatóság ellenőrző munkájáról. Cikkünk hamarosan folytatódik, maradjon velünk, hogy Ön is olyan felkészülten várhassa a GDPR májusi hatálybalépését, mint ahogyan mi magunk tesszük.

Hunyor Péter
Senior HR Tanácsadó

Korábbi cikkek ebben a témában:
GDPR: a rendeleten alapuló adatvédelmi kérdések HR-es szemmel

Álláshirdetés feladás, önéletrajz adatbázis hozzáférés, álláskeresők előszűrése vagy egyéb munkaadóknak, hirdetőknek szóló szolgáltatások kapcsán keresse a Cvonline.hu professzionális csapatát bizalommal, a következő elérhetőségek valamelyikén:
Russmedia Digital Kft.
H-1138 Budapest, Madarász Viktor utca 47-49.
Telefonszám: (+36 1) 5100-800
Fax: (+36 1) 302-1736 vagy (+36 46) 887-350
E-mail: info@cvonline.hu