A GDPR (azaz General Data Protection Regulation) erősen várt hatályba lépése megtörtént. Ha céged emberek személyes adataival dolgozik, ilyen adatokat kezel, bizonyára tudod, a rendelkezés Rátok is vonatkozik.
Ha előzetesen elvégezted
- a céges folyamatok felmérését
- a hatásvizsgálatokat
- az új folyamatok kialakítását
akkor valószínűleg jóval gondosabban kidolgoztad az átállást, mint a GDPR bevezetésében érintett európai vállalkozások nagy része. Egy tavalyi Deloitte felmérés szerint ugyanis csak a a cégek 15%-a készült fel ahhoz, hogy 2018 május 25-re meg tudjon felelni az új európai adatvédelmi rendeletnek.
Bizonyára átálltál már, de az alábbiakra is gondoltál?
Tapasztalatunk szerint vannak olyan feladatok, amelyek a legtöbb cégnél fel sem merülnek az adatvédelemmel kapcsolatos tennivalók felmérésekor.
Csekkoljátok ezeket is, hogy ne okozzanak problémát!
Érzékeny adatok post-iteken, határidőnaplókban
Ha a digitális rendszerek és folyamatok már adatbiztosak és GDPR-nek megfelelőek, még mindig jelentős mennyiségű személyes adat lehet tárolva az irodán belül - papíron.
Előfordulhat, hogy például a központi számon becsörög az ügyfél, a recepciós a nevét, elérhetőségeit és problémáját precízen leírja egy post-itre, és átadja az értékesítőnek.
A régivágású sales kolléga feltehetően a GDPR átállás után is jobban bízik a filofaxban, mint a telefonra telepített naptár appban; a vevőszolgálatos munkatárs asztala mellett pedig lehet, hogy a Te cégednél is ott sorjáznak parafatáblán a legviccesebb ügyféllevelek kinyomtatva. Nyilván ezek névvel, email címmel, szenzitív adatokkal együtt vannak közzétéve. Mehet ez így a GDPR átállás után?
Fontos tudni, hogy ez is adattárolásnak, adatkezelésnek minősül.
- Meddig tároljuk ezeket az információkat?
- Valóban kontrollálni tudjuk ezekhez a hozzáférést?
- Egyáltalán szükséges ezeket papírra rögzítenünk?
A legmegfelelőbb válasz az, hogy ezeket az adatokat ne tároljuk, ne rögzítsük így, mivel nem tudjuk garantálni az adatbiztonságot.
Ha elkerülhetetlen a megőrzés, a papírok megfelelő használat utáni kezeléséről gondoskodjunk zárt személyes iratgyűjtő dobozok alkalmazásával.
Milyen adatok szerepelnek Nálatok emailekben?
Különösen ügyfélkapcsolati szoftverrel nem rendelkező cégek esetében problémás, hogy a belső levelezés tele van személyes jellegű ügyfél adatokkal, nem csak csatolt fájlokban, hanem magában az email szövegében is.
Lehet az alkalmazott email kliens és szerver IT szempontból biztonságosabb, mint a CIA központjáé, ha ez így van, akkor is két komoly probléma merül fel.
- Először is elképesztően könnyű leveleket félreküldeni. Például a kolléga és az egyik ügyfél is, akivel levelezel Tóth Gábor, és az outlook sajnos az utóbbit ajánlotta fel, mikor elkezdted begépelni - ismerős? Máris más címzetthez jutnak el az adatok.
- Másrészt ha egy ügyfél kéri minden adatának törlését, vagy akár csak a róla tárolt adatok teljes listáját, hogy oldhatod meg, hogy megtaláld az összes információt a teljes vállalati levelezésben? Végig akarsz pörgetni minden emailt a szerveren, mióta csak az ügyfél adatait kezelitek?
A megoldás egy CRM rendszer és a munkatársak edukációja a témában.
A legfontosabb tudnivaló: emailben csak belső ügyfélkódot, vagy online CRM esetén az ügyfélrekord csak felhasználók számára elérhető linkjét szabad használni.
Így az üzenetekben egyértelműen egyeztethetnek a munkatársak a teendőkről, de személyes adatok nem kerülnek sem rögzítésre, sem továbbításra.
Végül, de nem utolsósorban: önéletrajzok
Szinte garantált, hogy senki sem gondol erre, pedig számtalan érintett adat bújik meg ezen a területen.
Tavaly négy pozícióra is kerestetek embert, és bejött 300 önéletrajz emailben?
Akkor - ha nem is tudatosodott benned eddig -, van egy csinos kis HR adatbázisotok, aminek kezeléséhez nem biztos, hogy rendelkeztek jogalappal. Pláne ha a pozíciók régesrég betöltésre kerültek.
Mi a teendő?
Jó tudni, hogy május 25-től az álláshirdetés aljára is szükséges tájékoztató szöveget tenni az adatkezelésről.
Emellett a GDPR bevezetése óta ki kellett, hogy alakítsátok a megfelelő folyamatokat a CV-k és a kapcsolódó dokumentumok - sőt az egyéni értékelőlapok, a kapcsolódó belső kommunikáció - törlésére, ha megtartásuk az adatkezelés céljából már nem szükséges. Ha még nem történt ez meg, ideje megnyomni a delete gombot.
A későbbiekben potenciálisan érdekes jelentkezők CV-jét elraknátok későbbre? Ha hozzájárul a jelölt azután, hogy a döntéseteket közöltétek vele, akkor ennek sincs akadálya.