Előre elkészített GDPR sablonok – érdemes megvásárolni?

Sok helyen árulnak előre elkészített GDPR sablonokat, amiket egy webshopban megveszünk, kifizetünk, kis segítséggel kitöltünk, és elvileg már meg is vagyunk, cégünk GDPR kompatibilissé vált. Erről szeretném megosztani a véleményem.

Először is, mint mindig, most is óvakodnék az „Ez jó” és „Ez rossz” véleményezéstől, inkább szeretném ha olvasóim megértenék, hogy mit vásárolnak egy előre elkészített GDPR dokumentációval, mire tudják azt használni, és mik a korlátjai egy ilyen megoldásnak.

Kezdjük azzal hogy mi a lényege ennek az egész adatvédelemmel kapcsolatos őrületnek?

Röviden az, hogy biztosítsuk az emberek magánélethez való jogát, és ennek érdekében hozzunk olyan intézkedéseket,  amelyekkel ezt – mint adatkezelők – garantálni is tudjuk.

Milyen intézkedésekről van szó? A teljesség igánye nélkül, pár példát említve:

1. Legyünk tisztában vele hogy milyen személyes adatokat kezelünk, és milyen helyzetekben tesszük azokat.
   Vannak olyan adatkezelési esetek, amik a cégek legalább többségénél szinte teljesen azonosak; ilyen például a munkaviszonnyal kapcsolatos adatkezelés amire akár mondhatnánk is hogy annyira hasonló hogy ugyanaz a sablon jó mindenhová de itt is lehetnek lényeges eltérések, pl hogy vannak-e megváltozott munkaképességű alkalmazottaink, a bérszámfejtés helyben van vagy kiszerveztük, munkaerőnk bérelt vagy saját, és sorolhatnám… Ezek mind olyan témakörök, ahol a folyamatot kell értelmezni, megvizsgálni adatkezelési szempontból, és az alapján értékelni az adott adatkezelést.

   Véleményem szerint adhatnak az előre elkészített sablonokhoz bármilyen jó leírást, kitöltési útmutatót, a megfelelő szakértelem nélkül lehetetlen őket megfelelően kitölteni.

2. Tudnunk kell, hogy mi jogosít fel minket arra, hogy adott esetben magánszemélyek adatait kezeljük, azaz adatkezelővé váljunk.
   Az adatkezeléseinknek minden esetben meg kell találni a megfelelő jogalapot. Itt is vannak egyértelmű helyzetek ahol a jogalap meghatározásánál nagyon nem lehet mellé lőni, de bizony vannak olyanok is, amikor több lehetséges jogalap közül kell kiválasztani a megfelelőt. Külön kiemelném az úgynevezett jogos érdek jogalapot. Annak választásakor egy érdekmérlegelési teszt elvégzésével kell igazolnunk, hogy a jogalap amit választottunk megfelelő. A tesztnek a konkrét adatkezelés körülményeit kell tüzetesen vizsgálnia.   Ezt egy laikus hogyan végzi el?  Vagy a sablon előre elvégzi a tesztet, meghatározza a jogalapot körülmények ismerete nélkül?

   Jogalapok meghatározásánál a sablon használat csak a leghétköznapibb adatkezelések esetén lehet hasznos, de én még olyan céggel nem találkoztam ahol csak ilyen típusú adatkezelés van..

   3. Az érintetteket megfelelően tájékoztatnunk kell az adatkezelés részleteiről

   Na ez az a pont ahol azt mondom talán segítségünkre lehet egy sablon, de csak és kizárólag akkor ha az előző két pontban tárgyaltakat már megvizsgáltuk, és ott a megfelelő szakmai döntéseket meghoztuk.

   A sablonokkal viszont az a baj, hogy gyakorlatilag amit nyújtanak az kizárólag az érintettek tájékoztatása, az előző pontok bármiféle vizsgálata nélkül.

   Ez olyan mintha a házunk tetejét előre elkészítve megvettük volna, anélkül hogy egyáltalán tudnánk hogy fog kinézni a ház és mik a lehetőségeink.

Beszélhetnénk itt még adatfeldolgozókról, információbiztonságról, szervezeten belüli adatvédelmi intézkedésekről, aminek dokumentálására, megértésére  egy előre elkészített sablon önmagában nem alkalmas, de felesleges, mert minden témakörnél a konklúzióm ugyanaz lenne:

Ha a cégen belüli  adatkezelés dokumentálása egy előre gyártott sablon segítségével történt, mindenképp érdemes azt átnézetni egy olyannal aki értelmezni is tudja az abban leírtakat. Egy véleményezés költsége elenyésző ahhoz képest amit egy nem megfelelő adatkezelés, vagy esetleg incidens okozhat.

Egyik ügyfelem felkért arra hogy egy ilyen megoldást véleményezzek. Közösen megvizsgáltuk a cég működését,  a jelenlegi adatkezelési folyamatokat, és az előre elkészített dokumentációt is. Az eredmény egy 18 oldalas vélemény lett, aminek kb a 70 százaléka a hibás vagy egyszerűen hamis állítást közlő dokumentációval kapcsolatos. A javaslataim alapján a dokumentációt újrafogalmaztuk, immár a valós működésnek megfelelően. 

A GDPR Audit szolgáltatás keretében részletes dokumentációt kap arról hogy a jelenlegi folyamatok, valamit dokumentáció mennyiben felel meg az adatvédelmi elvárásoknak.