10 tévhit a GDPR-ról (2. rész)

Nincs szükség szakemberre az adatkezelési szabályzat elkészítéséhez!”

Rengeteg olyan helyzettel találkoztam az elmúlt években, amikor az adatkezelési szabályzat elkészítésében nem működött közre szakember (jogász vagy adatvédelmi tisztviselő). Különböző szintjei voltak az ilyen szabályzatoknak, haladjunk a legrosszabb verzióktól a már vállalható verzióig.

  • Egy másik random honlapról másolták ki az adatkezelési szabályzatot
  • Egy másik, hasonló vagy ugyanolyan profillal rendelkező (konkurens) szolgáltató honlapjáról másolták ki az adatkezelési szabályzatot
  • Egy üres adatvédelmi szabályzat sablont töltöttek le az internetről és azt egészítették ki
  • Sablongenerátort használtak

Az első két verziónál további szélsőséges – de megtörtént – eset, amikor a másolást elkövető vállalkozás még a saját cégadataira sem cseréli ki a lemásolt adatvédelmi tájékoztatóban lévő céges adatokat, elérhetőségeket. Volt olyan vállalkozás, ahol ugyan a szabályzat tetején lévő céges adatok ugyan ki voltak cserélve, de tovább már valószínűleg nem olvasta a szöveget, amelyben további céges adatok (például az email cím vagy telefonszám, ahol az adatok módosítását, törlését lehet kérni) már nem kerültek kicserélésre. De tételezzük fel, hogy lemásoltuk a szóban forgó adatvédelmi szabályzatot, és alaposan végignéztük, hogy ne maradjon benne az eredeti cégre vonatkozó információk. Innentől az első három verziónál ugyanazok a problémák merülnek fel (azon túl, hogy magával a másolással szellemi tulajdonjogokat sérthetünk):

  • honnan lehetünk biztosak, hogy a lemásolt/letöltött adatkezelési szabályzat megfelel az előírásoknak?
  • a lemásolt/letöltött adatkezelési szabályzat vajon tényleg tartalmaz minden olyan adatkezelési helyzetet, ami az én vállalkozásom esetében fennáll?
  • és ha épp ellenkezőleg, a lemásolt/letöltött adatkezelési szabályzat olyan adatokról is rendelkezik, amiket az én vállalkozásom valójában nem is kezel, mert nincs rájuk szükség?

Sablongenerátor esetében már határozottan jobbak a kilátások, persze itt is előfordulhatnak hibák (a felhasznált alapszövegek nem helytállóak, nem aktuálisak vagy maga a generátor nem működik megfelelően, esetleg fontos kérdéseket nem tesz fel, így azok be sem kerülhetnek a legenerált sablonba), de könnyen találhatunk jogászok által üzemeltetett generátorokat is, ahol azért feltételezhetjük, hogy az általános részek rendben vannak és a feltett kérdések is viszonylag átfogóak. Vannak már olyan tényleg kreatívan átgondolt, előfizetéses rendszerek, ahol az előfizetés ideje alatt az adott generátorral elkészített sablon általános részeit az előfizetés ideje alatt folyamatosan aktualizálják is. Ha mindenképpen elzárkózunk a szakemberrel történő egyeztetéstől – de ne tegyük – akkor a fenti opciók közül mindenképp ezt a verziót válasszuk.

gdpr 2resz 01

A legjobb megoldás azonban a szakértő bevonása, ha más nem, legalább konzultáció szintjén. Ma már egy szakember által készített, személyre szabott adatkezelési szabályzat sem egy lakás ára, egy kisebb vállalkozás esetében (ahol nem ezressével beszélünk személyes adatokról, nincsenek érzékeny adatok kezelve illetve nincsenek összetett, speciális vagy nagy számú személyes adatokkal operáló folyamatok), akkor már 25-30ezer+ÁFA költségért szert tehetünk a saját, cégünkhöz maximálisan illeszkedő adatkezelési szabályzatunkra. A szakember előnye az – ha normálisan végzi a munkáját, persze – hogy bár döntő többségben szintén kérdésekkel kezd, ahogyan egy generátor, de a szaktudása és tapasztalatai folytán azonnal észreveszi az esetleges ellentmondásokat, mélyebben belemegy egy-egy folyamatba, további célirányos kérdésekkel rávilágítva olyan adatkezelési helyzetekre is, amikről még a vállalkozó sem tudta, hogy azt is érinteni kell külön a szabályzatban.

Nem régi eset például, hogy egy ügyfél új weboldalt készíttetett egy erre szakosodott fejlesztő csapattal. Az új weboldal élesítése előtt kérték tőlünk a weboldal GDPR felülvizsgálatát, hogy ennek megfelelően módosítsuk az adatkezelési tájékoztatójukat, ha szükséges. Átnéztük a honlapot, és egy új funkció került bele a korábbi weboldalhoz képest, méghozzá egy ingyenes önéletrajz generátor. Kérdésünkre, hogy az itt megadott adatok milyen módon kerülnek tárolásra, kapásból azt válaszolták a fejlesztők, hogy nem kerülnek tárolásra. Mi azért leteszteltük a funkciót, ami az adatok megadása után egy olyan oldalra irányított, ahol a kész, letölthető önéletrajz volt látható. Az URL-ből tisztán kivehető volt, hogy az önéletrajzhoz feltöltött fényképet egy tárhelyen található mappából húzta át a rendszer erre az oldalra. Célirányos kérdések után kiderült, hogy valóban, a fénykép mégis feltöltésre került a tárhelyre, ahonnan automatikusan nem is tud törlődni, csak manuálisan. A megadott adatok pedig szintén tárolódtak sütik segítségével egészen addig, amíg a kész önéletrajzot tartalmazó böngészőlap bezárásra nem került. Ha egy percig hagyja nyitva az ablakot az önéletrajzot generáló ember, akkor egy percig tárolódott. Ha egy hétig, akkor egy hétig. Ha ez az ügyfél sablongenerátorral készítette volna el az új adatkezelési szabályzatát, akkor a fejlesztő első válaszán alapulva valószínűleg nem került volna bele a dokumentumba, hogy a cég kezelésébe ezen a funkción keresztül több személyes adat fénykép is kerül hosszabb-rövidebb ideig, ami egy NAIH ellenőrzés során nem kis kellemetlenséget okozott volna az ügyfélnek.

KÉRJEN EGYEDI AJÁNLATOT

10 tévhit a GDPR-ról (2. rész)

„Nincs szükség szakemberre az adatkezelési szabályzat elkészítéséhez!” Rengeteg olyan helyzettel találkoztam az elmúlt években, amikor az adatkezelési szabályzat elkészítésében nem működött közre szakember (jogász vagy

Tovább olvasom »

10 tévhit a GDPR-ról (1. rész)

A GDPR, azaz az Európai Unió általános adatvédelmi rendelete 2018 óta érvényben van, mégis sokan tévhitben élnek az általa előírt szabályokkal kapcsolatban. Ebben a cikk-sorozatban

Tovább olvasom »
csíki versünnep

Hagyományőrzés megújítva

Esettanulmány a VIII. (Online) Csíki Versünnep megszervezéséről I. A megbízás Partnerünk a Csíki versünnep 10 éve szervez versmondó versenyt az Erdélyben élő, verskedvelő magyar fiatalok

Tovább olvasom »

Szólj hozzá!