A GDPR-ral, adatvédelemmel napi szinten foglalkozó jogászként azt látom, hogy a legnagyobb hiba, amit adatkezelő elkövethet, ha – bár elkészít vagy elkészíttet egy belső szabályrendszert a cég adatkezelésére szabva-, nem képezi e körben a munkavállalóit. Ebből az következik, hogy ők nem lesznek figyelemmel a szabályozásra, nem változtatnak addigi szokásaikon és gyakorlatilag semmi nem változik a cég életében adatvédelmi szempontból.
Vannak munkavállalók által adott válaszok, melyeknek egy másodpercnyi ideig sincs valós értéke egy adatvédelmi eljárás vagy incidens kezelése esetén.
Mire gondolok?
- „Azért csinálom így, mert ez így logikus.”
- „Azért ez a jó megoldás, mert 6 éve, amikor a kolléganőmtől átvettem ezt a feladatkört, ő így mutatta meg nekem, tehát ezt így kell csinálni”
- „Annyi időm nincs, hogy minden felesleges dologra odafigyeljek, amit ott leírt valaki, aki ráadásul nem is ismeri a valóságot.”
- „Nekem erre nincs időm!”
- „Azért ezt a megoldást alkalmazom, mert nekem így kényelmes, így szoktam meg.”
- „Ez egy kis munkatársi közösség, jól ismerjük egymást, itt mindenki megbízható. Tőlünk nem szivárognak ki adatok”
Ezt a hat sablont gyakran hallom, kisebb megfogalmazás béli eltérésekkel, de lényegében azonos módon.
Hol van itt a csapda?
- Ott, hogy minden résztvevő, beleértve a cégvezetőt és a munkavállalókat is, nyugodtan teszi a dolgát abban a hitben, hogy van szabályzat, tehát nem lehet probléma. A szabályzatot elég, ha a főnök ismeri, úgyis neki kell intézkedni majd, ha szükséges (gondolhatja a munkavállaló). Ugyanez az a vezető oldaláról úgy hangzik, hogy a szabályokat főleg a dolgozónak kell ismerni, mert ők foglalkoznak a témával a feladataik ellátása folyamán, nap, mint nap. Mindenki a másikra mutogat, a saját felelősségét minimálisra állítva. A megszokások mentén haladva…
- Adatvédelmi eredetű büntetések soha nem úgy érkeznek az adatkezelőhöz, hogy „megvizsgáltuk és megállapítottuk a szabályozás és a tájékoztatás részbeni vagy teljes hiányát”.
Ez utóbbi mondatot minden esetben megelőz egy mulasztás vagy szabály(ok) megsértése, melyre valaki felhívja a hatóság figyelmét azzal, hogy bejelentést tesz. A GDPR szabályozás áttekintése (tehát mit kellett volna betartani) csak ezzel együtt vagy ezt követően történik meg.
Tehát a szabályok megalkotása fontos ugyan, de csak akkor van valós haszna és értelme, ha azt betartja az adatkezelőnek a személyes adatok kezelésében – munkájából eredően érintett – valamennyi munkatársa. Nincs más mód a büntetések elkerülésére.
Tanulság:
A folyamatnak csak így van értelme és haszna: szabályozás – képzés (a megszokások kiváltására) – a szabályok betartása és ennek ellenőrzése (a megszokások ellenében) – szükség esetén a szabályok frissítése – képzés…