Szolgáltatás
GDPR audit és dokumentáció
Átvilágítás, amelyik a tényleges folyamatokból indul ki. Dokumentáció, amelyik a cégedre vonatkozik — nem egy letölthető sablon.
A GDPR hat éve él, és mégis ma is találkozom cégvezetővel, aki most kezd komolyan foglalkozni vele. Általában azért, mert vagy egy nagy ügyfél kért tőle adatvédelmi tájékoztatót, vagy valaki panaszt tett a NAIH-nál. Mindkettő rossz időpont a kezdésre.
Az a vállalkozás, amelyik ügyféladatot kezel — és ma már ez szinte mindenki, egy webshoptól egy könyvelőirodáig —, a GDPR hatálya alá esik. A kérdés nem az, hogy kell-e vele foglalkozni, hanem az, hogy most csinálod, vagy majd akkor, amikor muszáj.
A munka két részből áll.
1. Mi történik most a cégnél?
Mielőtt bármit leírunk, végigmegyünk a tényleges folyamatokon. Milyen adatot kérsz az ügyféltől, amikor ajánlatot ad? Hol tárolod — emailfiókban, CRM-ben, Excelben, papíron? Kinek küldöd tovább — könyvelőnek, alvállalkozónak, hirdetési platformnak? Meddig őrzöd, mikor törlöd?
Ezek egyszerű kérdések, de a legtöbb cégnél sosem kérdezte meg senki őket végig. Ez a rész általában meglepetéseket hoz. Olyan helyeken találunk adatot, ahova nem kellene. Olyan megosztásokat dokumentálunk, amelyekről senki nem tudott. Ilyenkor a cégvezető rendszerint azt mondja: „Ezt nem tudtam, hogy így csináljuk." Pontosan ezért kezdjük ezzel.
2. Dokumentumok, amik használhatók
A GDPR-hoz több dokumentum kell, és mindegyiknek más a célja.
Az adatkezelési tájékoztató az, amit a weboldalra és a szerződésekhez teszel — ebben mondod el az ügyfélnek, mit csinálsz az adataival. Az ÁSZF az üzleti feltételeket rögzíti, és a GDPR-ra vonatkozó részeket tartalmaz. A belső adatvédelmi szabályzat a munkatársaknak szól — ki mit csinálhat az adatokkal, és mi történik, ha baj van.
Letölthető sablonok vannak bőven a neten. Ezzel egy probléma van, ugyanaz, mint a NIS2-nél: a sablon nem a te cégedről szól. Ha egy ügyfél panaszt tesz, vagy a NAIH vizsgálódik, az első kérdések nagyon konkrétak lesznek. „Önök hirdetési pixeleket használnak?" „A könyvelő milyen szerződéssel fér hozzá az adatokhoz?" „Hogyan törlik az adatot, ha valaki leiratkozik?" Ha a tájékoztatóban szerepel olyan dolog, amit nem csináltok — vagy nem szerepel olyan, amit viszont igen —, az a dokumentum többet árt, mint használ.
A mi munkánk végén minden dokumentum azt írja le, amit a cég ténylegesen csinál. Ezért az első szakasz a fontosabb a kettő közül. Aki sablont ad el neked GDPR-dokumentáció címen, az a munka könnyebbik felét csinálja, és a lényegesebbet kihagyja.
Egy kisebb cég három-öt hét alatt készül el. Nagyobbnál, vagy ahol több rendszer van, hat-nyolc hét. Az árat az első átvilágítás után tudjuk pontosan — akkor már látjuk, hány dokumentum kell, és milyen mélyen kell menni.
Ha szeretnéd megnézni, hol áll most a céged, írj. Egy harmincperces beszélgetésből kiderül, hogy van-e értelme együtt dolgozni.