A SalesAutopilot elkötelezetten dolgozik azon, hogy mind saját adatkezelései tekintetében, mind adatfeldolgozóként a SalesAutopilot ügyfelek, mint adatkezelők SalesAutopilot fiókjaiban kezelt adataik tekintetében május 25-től kezdődően folyamatosan megfeleljen a EU általános adatvédelmi rendeletének (GDPR).

Az alábbi bejegyzésben röviden bemutatjuk, hogy milyen irányokban érdemes elindulni, ha még nem tett volna meg mindent cége adatkezeléseinek GDPR megfeleltetéséhez, és hamarosan egy nagyobb lélegzetvételű anyag kiadásával is készülünk.

Az alábbi bejegyzés nem tekinthető jogi vagy információbiztonsági állásfoglalásnak vagy tanácsadásnak, kizárólag a szerző személyes álláspontját reprezentálja. Mielőtt bármilyen döntést hozna a GDPR vonatkozásában, feltétlenül konzultáljon jogi és információbiztonsági szakemberrel.

Áttekintés

Az általános adatvédelmi rendelet, mely május 25-től lép hatályba, és amelyet két évvel korábban fogadott el az Európai Parlament, alapjaiban változtatja meg, ahogy a természetes személyek adatait a vállalkozások kezelhetik. Nem egyszerűen néhány adminisztratív szabályváltozásról, hanem egy tényleges szemléletváltozsáról van szó a jogalkotó részéről, mely szemléletváltozást a vállalkozások sem tudnak megúszni.

Kik számra fontos képben lenni?

Minden olyan vállalkozás minden felelős munkatársának, amely vállalkozás természetes személyek adatait kezeli. Amennyiben marketingje, értékesítése, toborzása, vagy akár munkáltatói tevékenysége során a vállalkozás személyes adatokat gyűjt, akkor azokat kezeli is, tehát ezen esetekben egészen biztosan vonatkozik rá a szabály, de ez csak néhány példa volt.

Amennyiben nem ismeri magát a rendeletet, és nem tett még szert érdemi ismeretekre a témában, véleményünk szerint ezeket a cikkeket érdemes elsőként elolvasnia:

Mivel a rendelet alkalmazásának vonatkozásában a szakemberek részéről rendkívül széles skálán mozognak a vélemények, véleményünk szerint minden felelős vezető számára ajánlott ismerni magát a rendeletet is, valamint a kapcsolódó hazai szabályozás, az ún. “Info törvény” jelenleg ismert legfrissebb tervezetét is.

A SalesAutopilot GDPR megfeleléséről

A SalesAutopilotnak két minőségében is meg kell felelnie a rendeletnek.

Adatkezelőként ugyanazon szabályok vonatkoznak ránk, mint bármely másik adatkezelőre, vagy bármely ügyfelünkre. Ezen minőségünkben meg kell felelnünk a rendelet szabályainak hírlevél feliratkozóink, munkatársaink, vagy akár a rendezvényeinken készült fotók vonatkozásában – hogy csak néhány példát említsek.

Adatfeldolgozóként minden szempontból (jogi, adminisztratív, információbiztonsági, stb.) olyan szolgáltatást kell nyújtanunk, ami maximálisan elősegíti ügyfeleink, az adatkezelők részére a megfelelést, és amely önmagában is megfelel a GDPR adatfeldolgozókra vonatkozó szabályainak.

Mindkét szempontból nagy erőkkel – egy jogász csapattal, egy információbiztonsági csapattal, és két elismert GDPR szakértő jogásszal – dolgozunk a megfelelésen, és május 25-től minden szempontból meg fogunk felelni a követelményeknek. Ezen kívül azért is mindent megteszünk, hogy ügyfeleink számára biztosítsuk a mi felelősségi és hatókörünkbe tartozó körülményeket.

Ezek részleteivel kapcsolatban folyamatosan újabb információkat tervezünk megosztani, amelyek segíteni fognak ügyfeleinknek, de nem helyettesítik ügyfeleink saját felkészülését.

Leggyakoribb kérdések

Az elmúlt hetekben az alábbiak voltak a legfontosabbak az ügyfeleinktől kapott kérdések közül, melyeket itt igyekszünk is megválaszolni. A kérdések némelyike jelentős félreértésekről árulkodik, ezért fontos lehet elolvasni az összes kérdést, és az azokra adott összes választ.

(1) “Készek vagytok kiállítani egy nyilatkozatot / tanúsítványt, miszerint a működésetek minden szempontból megfelel a GDPR rendelkezéseinek.”

Folyamatosan dolgozunk azon, hogy a működésünk maximálisan megfeleljen a GDPR szabályainak, és elköteleztük magunkat, hogy május 25-től minden részletének meg fogunk felelni. Ezzel kapcsolatban folyamatosan fogjuk tájékoztatni ügyfeleinket a részletekről, ami sokat fog segíteni a felkészülésben.

Egyedileg nem fogunk kiállítani a fent megfogalmazott nyilatkozatot, melynek az alábbi okai vannak:

  • Minden ügyfelünk számára ugyanolyan módon fogunk megfelelni a szabályoknak, így az általános tájékoztatásunk elegendő annak felméréséhez, hogy megfelelünk-e a szabályoknak.
  • Nincs egyedi nyilatkozat vagy igazolás kiállítására vonatkozó jogszabályi kötelezettségünk.

A nyilatkozat kiállítása helyett folyamatosan tájékoztatjuk ügyfeleinket az általunk megtett intézkedésekről, amint azok az erre kész formába kerülnek.

Fontos azonban azt is érteni, hogy a SalesAutopilot szoftver vagy cég megfelelése semmilyen módon nem csökkenti a SalesAutopilot ügyfelek felelősségét vagy tennivalóik számát.

A GDPR egyértelműen meghatározza mind az adatkezelő (általában a SalesAutopilot ügyfelek), mind az adatfeldolgozó (SalesAutopilot és egyes SalesAutopilot ügyfelek) felelősségét és feladatait. Ez azt jelenti, hogy minden SalesAutopilot ügyfélnek jelentős saját felelőssége és számos feladata van saját, adatkezelőként történő megfelelése vonatkozásában, és ezt nem lehet “kiváltani” a SalesAutopilot szoftver megfelelőségével. Ennek miértjének megértéséhez javasoljuk a rendelet megismerését és megértését.

(2) “Ha jól tudom, szükség van egy Adatfeldolgozói Megállapodásra (DPA) köztünk, ezt mikor köthetjük meg?”

Igen, a GDPR konkrét követelményeket fogalmaz meg az adatkezelők (pl. a SalesAutopilot ügyfelek) és az adatfeldolgozók (pl. SalesAutopilot) közötti megállapodásokra. Ez a megállapodás fogja felváltani a korábbi Végfelhasználói Szerződést. Ennek elkészítésén dolgozunk, és amint megszületik, tájékoztatni fogjuk ügyfeleinket. Az új, végfelhasználói szerződésként is funkcionáló adatfeldolgozói szerződést online el tudja fogadni majd minden ügyfelünk.

FONTOS kiegészítés: Minden SalesAutopilot fiók vonatkozásában a fiók top felhasználója az, aki ezt a szerződést el tudja majd fogadni. Érdemes megvizsgálni, hogy az Ön SalesAutopilot fiókjában ténylegesen az a felhasználó-e a top felhasználó (aki minden más felhasználót lát, és szerkeszteni tud), aki cégjogilag fel van hatalmazva ezen szerződés elfogadására. Amennyiben ez nincs így, érdemes úgy módosítani a felhasználókat, hogy ezt a szerződést jogszerűen el tudják majd fogadni. Az itt megfogalmazott feltételek biztosítása a SalesAutopilot felhasználó felelőssége, és amennyiben a felhasználó ennek nem tesz eleget, a SalesAutopilot nem vonható felelősségre az ebből eredő kárért, elmaradt haszonért, vagy bármely egyéb jogkövetkezményért.

(3) “Ha kizárólag a Salesautopilot-ot használom adatkezelésre, és a Salesautopilot nyilván a GDPR-rel összhangban fog működni, az elegendő lehet-e?”, “Maga a szoftver fel lesz-e készítve az új jogszabályi követelmények teljesítésére?”

Ahogy az előző pontban is írtuk, igen, a SalesAutopilot a GDPR szabályainak megfelelően fog működni május 25-től, de ez nem váltja ki a SalesAutopilot ügyfél, mint adatkezelő felelősségét. Igazából már maga a kérdés is a rendelet nem ismeretét tükrözi, ami azt jelenti, hogy a megoldáshoz is szükség lehet a rendelet megismeréséhez.

(4) “Van olyan felkészült szakember/jogász a kapcsolatrendszerükben, akit meg tudnék bízni…”

Sajnos nem tudunk felelősséggel egyetlen jogászt sem ajánlani. Az egyetlen, akit ajánlani tudnánk, már nem fogad el további megbízásokat.

(5) “…akit meg tudnék bízni azzal, hogy feleltesse meg a GDPR-nek a cégem?”

Annak alapján, amennyire megismertük és megértettük a rendeletet, az a gondolat, hogy valaki “megfelelteti” az Ön cégét a rendelet szabályinak, teljességgel értelmezhetetlen a rendelet tükrében.

A GDPR Nyugat-Európai minőségi követelményeket fogalmaz meg a személyes adatok kezelésének folyamataival és technológiáival kapcsolatban, melyeket – elnézést az erős fogalmazásért – Kelet-Európai hozzáállással lehetetlen megvalósítani.

A megfeleléshez véleményünk szerint az alábbi tényezők együttes megléte szükséges (a lista nem teljes körű, csak tájékoztató jellegű):

  • A rendelet és a kapcsolódó jogszabályok ismerete a vállalkozás minden felelős vezetője és munkatársa részéről.
  • A cég személyes adatok kezelését érintő folyamatainak teljes átgondolása, ha szükséges, újratervezése, dokumentálása és akár újraépítése.
  • Minden érintett munkatárs továbbképzése.
  • Az újonnan kialakított folyamatok napi működés szintű biztosítása mind folyamat szinten, mind humán szinten, mind technológiai szinten.

A fenti listából sejthető, hogy ezeket a tevékenységeket nem tudja egy külső személy elvégezni. Ezen új minőségi szint eléréséhez megértésre, és egy új szemléletmód kialakítására van szükség a legtöbb vállalkozás részéről.

Azt is fontos érteni, hogy a GDPR május 25-i határideje nem azt jelenti, hogy május 25-re meg kell valósítani a megfelelést, hanem azt, hogy május 25-től kezdődően folyamatosan meg kell felelni – és ezt igazolni is tudni kell. Annál is inkább mert a rendelet egyik fő eleme, hogy megfordult a bizonyítási teher. Ez azt jelenti, hogy nem az eljáró hivatalnak kell bizonyítania, hogy cége jogsértést követett el, hanem Önnek kell bizonyítania, hogy Ön mindenben jogszerűen járt el.

Ez a gyakorlatban azt jelenti, hogy ettől az időpontból kezdve bármikor, amikor “beállít” a hatóság, elő kell tudnia venni mindazon dokumentumok naprakész verzióit, melyek igazolják, hogy mind elméletben, mind a gyakorlatban adatkezelési tevékenységük megfelel a rendelet elvárásainak.

Persze a gyakorlatban ez nem feltétlenül egy általános ellenőrzés formájában fog történni. Történhet egy feliratkozó, ügyfél, vagy bármely adatalany panasza, vagy például egy adatkezelési incidens (adatvesztés, adatszivárgás, adatlopás, adat nyilvánosságra kerülés) kapcsán kötelező “ön-feljelentés” vagy harmadik személy által történt bejelentés nyomán indult vizsgálat során. Egy ilyen vizsgálat során szintén naprakész dokumentumokkal kell tudnia igazolni, hogy mindent megtettek az incidens megelőzése, majd elhárítása érdekében.

…és akár sejti, akár nem, egy ilyen vizsgálat során nem túl nagy esély van rá, hogy a “hétvégén bent maradunk és gyorsan lepapírozzuk…” megközelítés működni fog!

(6) “Mi a teendőm?”

Ahogy a cikk bevezetőjében is jeleztük, a legfontosabb teendője szerintünk, hogy ismerje meg a rendeletet és a vonatkozó jogszabályokat, és konzultáljon jogi és információbiztonsági szakemberekkel.

Hiszünk benne, hogy a szakemberekkel való konzultáció nem helyettesíti teljes egészében a jogszabályok ismeretét.

Az áttekintés pontban felsoroltuk azon cikkek linkjét, amelyeket véleményünk szerint kezdésként érdemes átolvasnia.

A rendelet és a vonatkozó szabályok megismerésében sok segítséget tudnak nyújtani az Infoszféra konferenciái is, melyeket jó szívvel ajánlunk ügyfeleinknek – mi is ezeket végeztük el csapatunk több tagjával.

A következő vonatkozó alkalom: Új Adatvédelmi Rendelet – A GDPR Hazai Alkalmazása – április 11-12. – Használja az SP400411 kuponkódot a kedvezményes jelentkezéshez!

Ha pedig már látja, hogy hogyan fog felkészülni a rendeletnek való megfelelésre, ismerje meg azt a marketing és értékesítési rendszer tervezési módszertant, amelyet mi magunk is használunk GDPR kompatibilis marketing rendszereink megtervezésére.

Tetszett a cikk? Kérdései vannak? Írja meg kommentben az alábbiakban!

A SZERZŐRŐL

Csepregi BalázsCsepregi Balázs

SalesAutopilot – társtulajdonos, ügyvezető.

facebook google plus twitter youtube

A SalesAutopilot társtulajdonosa, ügyvezetője, valamint marketing- és értékesítési vezetője. 15 éves marketing, projekt menedzsment és marketing rendszerépítési tapasztalatával, valamint a stratégiai megközelítésével hatékonyan segít a cég ügyfeleinek megtalálni a kreatív marketing és a megvalósíthatóság azon határterületét, ami a gyors fejlődéshez szükséges.

Gondolatok, kérdések, vélemények:

vélemény