Vajon létezik-e a jogi és informatikai elvárásokat maradéktalanul teljesítő, és az üzleti élettel is összeegyeztethető „reziliens adatvédelmi megfelelőség”?
Több mint egy évvel a GDPR hatálybalépése után…
A GDPR bevezetésével hatalmas hátszelet kapott az adatvédelem, a kezdeti lendület azonban sok cégnél apátiába váltott. Thomson Reuters felmérése szerint egy évvel a hatálybalépése után a vállalkozások még mindig küzdenek a GDPR elvárásainak való megfeleléssel. A kutatás kilenc országban kérdezte meg nemzetközi vállalkozások és más szervezetek adatvédelmi szakembereit 2017-ben és 2018 decemberében (a GDPR hatálybalépése előtt és után). Az eredményekből megállapítható, számos vállalkozás a vártnál nehezebbnek találta a GDPR előírásait. A felmérésben részt vevő nemzetközi vállalkozások 79 százaléka mondta azt, hogy:
▸ nem felelnek meg a szabályozási követelményeknek,
▸ nem tudják a megfelelőséget naprakészen tartani,
▸ vagy mindkettő.
A Nemzetközi Adatvédelmi Szakértők Szövetsége 2018 végén készített felmérésének eredményei szintén nem túl biztatóak: a válaszadók több mint fele ugyanis elismerte, hogy messze vannak a megfelelőségtől, és közel 20 százalékuk azt mondta, hogy a teljes megfelelés soha nem érhető el.
Létezik-e élő és élhető adatvédelem?
Vajon lehetséges-e, és ha igen, mi a titka annak, hogy egy élő és élhető folyamatot tudjunk kialakítani, ahol a GDPR betölti a szerepét, védi a „természetes személyek alapvető jogait és szabadságait”, de nem zárja statikus keretek közé, és veszi el a levegőt az üzleti élettől? A GDPR-rendeletnek sokan felróják, hogy túlságosan jogi szemléletű, nem veszi figyelembe az IT-szakág valóságát, hiszen adatvédelem nem létezik adatbiztonság nélkül. Ezt az elvet munkám gyakorlati tapasztalatai is megerősítették, megítélésem szerint azonban a fenntartható adatvédelmi megfelelőség megteremtésére három szakterület együttesen képes: az IT- és a jogi terület együttműködése elégséges, a humán oldali támogatás és szervezetfejlesztői szempontok bevonása pedig a szükséges feltétel. IT-projektekben alapvető a humán tényező kockázatként való azonosítása. „A technológiai projektekben nem maga a technológia az igazi kihívás, hanem a kapcsolódó emberi, munkafolyamati, szervezeti tényezők kezelése. ”
A jogi oldal hiányában azonban épp a jogszabályoknak való megfelelés szenvedhet csorbát. A jogi terület és humán oldali szempontok figyelembevételével jól szabályozottan működhetünk, kifejezetten magas adatvédelmi tudatosságot elérve a kollégáink részéről, azonban IT-szakértői támogatás nélkül az informatikai rendszer sérülékeny és kiszolgáltatott, időzített bombaként ketyeg a háttérben.
A jogi terület és az IT szoros együttműködése létrehozhat egy jól szabályozott, a rendelet elvárásainak megfelelő folyamatot, továbbá egy biztonságos informatikai rendszert, de az emberi tényező kihagyásával kiüresednek a szabályok, és kollégáink hamarosan megteremtik a saját folyamati szubkultúrájukat, „csak a DPO meg ne tudja” jelige alatt.
A leghosszabb út a legrövidebb
Ideális esetben a szervezet GDPR alkalmazására való felkészítése tehát a három szakterület együttes munkája, eredménye pedig egyfajta „reziliens complience”. Ha megfelelőségünk elérése nem csak papíralapon cél, a szervezetfejlesztői oldal már a kezdetektől fogva rengeteget tehet a munkatársak által is elfogadott, a mindennapokba beépíthető és szívesen alkalmazott folyamat kialakításáért.
1. A helyes diagnózis fontossága
Akár első alkalommal vágunk bele folyamataink GDPR szempontú felmérésébe, akár auditáljuk eddigi gyakorlatunkat, egy tapasztalt szervezetfejlesztő csapat a megfelelő interjútechnikák alkalmazásával és a rendszerszemléletű vizsgálattal olyan adatokat nyer ki a szervezetből, amelyekre valóban érdemes támaszkodni, például az adatvédelmi tájékoztatónk megírásánál. A személyes interjúk és fókuszcsoportok hatékonysága és alapossága a későbbiekben IT-oldalról is sokszorosan megtérül, hiszen egy információ biztonsági szempontok szerint megfelelő, de a cég igényeinek nem megfelelő megoldás jelentős anyagi és időveszteséggel járhat.
2. Céges folyamatokra szabott, gyakorlati szempontú oktatás, utánkövetéssel
A GDPR olyan fogalmak ismeretét követeli meg munkatársainktól, amelyek legtöbbször munkakörüktől távol állnak. Ahhoz, hogy adott esetben felismerhető legyen egy adatvédelmi incidens, vagy még a megfelelő jogszabályi határidőben adjunk választ egy érintteti panaszra, fontos, hogy valóban közelebb hozzuk a „privacy” lényegét és fontosságát, a GDPR alapvető elvárásait. Erre a legkevésbé alkalmas a tűzvédelmi oktatások mintájára kialakított elméleti oktatás.
3. Változásmenedzsment
Nem kérdés, hogy a GDPR hatással van a szervezet életére, különösen, hogy az adatvédelem számára a tempót a technológiai változások diktálják, így szinte biztosított az állandó változás, és annak folyamatos kezelése. A GDPR igazi VUCA típusú változásmenedzsmentet igényel, hiszen a gyors változások, kiszámíthatatlanság, komplexitás és többértelműség egyaránt jellemzik az adatvédelem és adatbiztonság területét.
+1 Az IT- és jogi oldal szempontjainak összehangolása gyakran a jó kapcsolat ellenére is embert próbáló feladat
lehet, ebben segíthet az egyeztetések facilitálása, vagy akár mediálása.
(1) AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet).
(2) https://www.thomsonreuters.com/en/press-releases/2019/may/businesses-struggling-with-gdpr-after-one-year-says-thomson-reuters-survey.html
(3) https://www.pcma.org/gdpr-one-year-anniversary-what-next/
(4) Aranyosi–Blaskovics–Horváth, 2015