A GDPR-ral, adatvédelemmel napi szinten foglalkozó jogászként azt látom, hogy a legnagyobb hiba, amit adatkezelő elkövethet, ha – bár elkészít vagy elkészíttet egy belső szabályrendszert a cég adatkezelésére szabva-, nem képezi e körben a munkavállalóit. Ebből az következik, hogy ők nem lesznek figyelemmel a szabályozásra, nem változtatnak addigi szokásaikon és gyakorlatilag semmi nem változik a cég életében adatvédelmi szempontból.

Vannak munkavállalók által adott válaszok, melyeknek egy másodpercnyi ideig sincs valós értéke egy adatvédelmi eljárás vagy incidens kezelése esetén.

Mire gondolok?

• „Azért csinálom így, mert ez így logikus.”
• „Azért ez a jó megoldás, mert 6 éve, amikor a kolléganőmtől átvettem ezt a feladatkört, ő így mutatta meg nekem, tehát ezt így kell csinálni”
• „Annyi időm nincs, hogy minden felesleges dologra odafigyeljek, amit ott leírt valaki, aki ráadásul nem is ismeri a valóságot.”
• „Nekem erre nincs időm!”
• „Azért ezt a megoldást alkalmazom, mert nekem így kényelmes, így szoktam meg.”
• „Ez egy kis munkatársi közösség, jól ismerjük egymást, itt mindenki megbízható. Tőlünk nem szivárognak ki adatok”

Ezt a hat sablont gyakran hallom, kisebb megfogalmazás béli eltérésekkel, de lényegében azonos módon.

Hol van itt a csapda?

1. Ott, hogy minden résztvevő, beleértve a cégvezetőt és a munkavállalókat is, nyugodtan teszi a dolgát abban a hitben, hogy van szabályzat, tehát nem lehet probléma. A szabályzatot elég, ha a főnök ismeri, úgyis neki kell intézkedni majd, ha szükséges (gondolhatja a munkavállaló). Ugyanez az a vezető oldaláról úgy hangzik, hogy a szabályokat főleg a dolgozónak kell ismerni, mert ők foglalkoznak a témával a feladataik ellátása folyamán, nap, mint nap. Mindenki a másikra mutogat, a saját felelősségét minimálisra állítva. A megszokások mentén haladva…
2. Adatvédelmi eredetű büntetések soha nem úgy érkeznek az adatkezelőhöz, hogy „megvizsgáltuk és megállapítottuk a szabályozás és a tájékoztatás részbeni vagy teljes hiányát”.

Ez utóbbi mondatot minden esetben megelőz egy mulasztás vagy szabály(ok) megsértése, melyre valaki felhívja a hatóság figyelmét azzal, hogy bejelentést tesz. A GDPR szabályozás áttekintése (tehát mit kellett volna betartani) csak ezzel együtt vagy ezt követően történik meg.

Tehát a szabályok megalkotása fontos ugyan, de csak akkor van valós haszna és értelme, ha azt betartja az adatkezelőnek a személyes adatok kezelésében – munkájából eredően érintett – valamennyi munkatársa. Nincs más mód a büntetések elkerülésére.

Tanulság:

A folyamatnak csak így van értelme és haszna: szabályozás – képzés (a megszokások kiváltására) – a szabályok betartása és ennek ellenőrzése (a megszokások ellenében) – szükség esetén a szabályok frissítése – képzés…