Az ISO 9001:2015 és a GDPR kapcsolata

Rendezvények és konferenciák sora szerveződik ezekben a hetekben a 2018. május 25-én életbe lépő Európai uniós irányelv, a GDPR szabálykörnyezetével kapcsolatosan. Az ember beleizzad a székébe, mert olyan rémületes előadásokat hallgat végig, amelyekben a szakjogászok konkrét éves árbevétel 4%-ával és milliárdos büntetésekkel fenyegetik meg a jelen lévőket és rajtuk keresztül a cégeket.

Csak óvatosan, körültekintően és felkészülten dönts!

Ha megvizsgáljuk a NAIH által elérhető publikációkat és a szakbizottságok állásfoglalásait a témában, valóban komolyan kell vennünk az uniós szinten hatályba lépő követelményrendszert, de mindezt kellő átgondoltsággal, saját cégünk működésére vonatkozóan adaptálva kell megtenni. Nem biztos, hogy azonnal egy ügyvédi irodához vagy egy tanácsadó céghez kell rohanni, akik a nem létező információs tartalmakra is betarthatatlan szabályokat kreálnak, bízva abban, hogy a megbízó, azaz Te úgy sem olvasod el a rendeleteket, az érvényes előírásokat.

Akkor mi az igazság?

Az már biztos, hogy a meglévő személyes adatkezeléssel kapcsolatos szabályozások alapvetően a széttagoltságuk és a kölcsönös bizalmatlanság miatt fenntarthatatlanok. Meg kell teremteni a megfelelő jogi garanciákat, szabályozásokat, amelyek a május 25-én életbe lépő globális sztenderdekhez illeszkedően kerülnek kialakításra. Ne felejtsük el, alapvetően személyes adat kezeléséről van szó, amely az egyénhez, munkavállalóhoz, partnerhez, felhő szolgáltatáson keresztül elért személyekhez kötődődően kíván és vár el számonkérhető és igazolható belső szabályozást.

Mi a személyes adat?

Szerintünk évekig fog tartani annak csiszolgatása, hogy május 25. után személyes adatnak tekintünk-e egy nevet és egy lakcímet, de azon már régen túl vagyunk, hogy személyes adat, hogy ha nevet és TB számot, vagy bármilyen egyéb, a személyt előnyösen vagy hátrányosan érintő megjegyzést elektronikus levélben továbbítunk és az véletlenül elkallódik és az illető pert akaszt a nyakunkba. Ebből az alaphelyzetből kell kiindulnunk, amikor a minőségirányítási rendszer szabályozási oldalán alapdokumentumok szintjén rendet teszünk a személyek, azaz munkavállalók, szervezetek, azaz tagok, stb. tekintetében. Ez ki kell, hogy terjedjen a munkaerő-toborzástól a munkavállalók adatszolgáltatásainak kezelésén át egészen az elektronikus rendszeren keresztüli adatmentésekig, beleértve a kamerarendszereket, beléptető rendszereket.

Mi az, ami még nem tisztázódott?

Ma semmilyen iránymutatást nem találunk arra vonatkozóan, hogy hazánkban miként értelmezzék a munkáltatók, üzleti kapcsolatban egymással kommunikáló partnerek, önkormányzatok, hatóságok az adathordozhatóságot, jogos érdekeket, adatfeldolgozási szerződéseket, stb. Ezek azok a területek, ahol május 25. után sem mernek és nem fognak büntetni, hiszen ennek jogi normái, szabályozási keretei nem tisztázottak. Egy biztos: minden szervezetnek, ahol akár egy fő alkalmazott is van, végig kell gondolnia, hogy a technológiák fejlődésével, az új kommunikációs módokkal miként tart lépést a személyes adatok kezelése. Ha ezt megértettük, további, magasabb szintre léphetünk, mert mi van a felhő alapú szolgáltatásokkal? Mit és hogyan csinálunk, ha ellenőrizni akarjuk a személyes adat felhasználását? Hogyan definiáljuk az előzetes hozzájárulását az adatfeldolgozásnak? Nem beszélve arról, miként kezelje a cég jogi osztálya azokat az incidenseket, amikor az egyén irányába történő adatsérelem következik be?

ISO 9001 – GDPR

Mi a tanácsadói állásfoglalásunk e kérdésben? Megbízóinknál elkezdtük a GDPR szabályzati környezetének kialakítását. A fenti gondolatok mentén szakmai team munkát végzünk, ahol egyszerű folyamatokba rendezetten kívánjuk a szabályozási környezetet kialakítani. Minőségirányítási rendszerek auditálásánál 1989-ben cégünk alapításakor is az volt a tanácsunk saját magunknak, hogy ne az auditor által megfogalmazott kérdésektől féljünk, hiszen ő az általunk konzultált rendszert egy nap alatt akarja megérteni és auditálni. Ez véleményünk szerint 2018-ban is abszurd és lehetetlen vállalkozás, ezért megfordítottuk a homokórát és a minőségirányítási szakmában elsőként döntöttünk arról, hogy ez esetben „a farok fogja csóválni a kutyát”, azaz mi határozzuk meg azokat a szabályokat, elvárásokat, amelyeket megtanítottunk a tanúsítóknak és igazoltuk annak helyes működését. Ha utólag belegondolunk, a közel 30 év alatt ezért volt minden auditunk sikeres. Észrevételeket kaptunk, de mindig elfogadták a rendszerműködést, hiszen a szabályok részleteiben sokkal pontosabbak voltak, mint amit az ISO 9001 szabvány és a ráépülő többi keretszabvány megkövetelt.

Így kell eljárnunk a GDPR esetében is. Nem kell magas óradíjas sztárügyvédekre elkölteni a pénzt, akik szakjogászként, ennek a témának a felkent pápáiként hirdetik magukat, hanem józan paraszti ésszel végig kell gondolni, milyen adatvagyon van a birtokunkban és azt miként kell oly módon szabályozni, hogy az harmadik fél számára elérhetetlen vagy felhasználhatatlan legyen.

Ugye milyen egyszerű?

Vegye fel a telefont és hívja tanácsadóinkat!