Szolgáltató közigazgatás – 3. rész
Alábbi cikksorozatunk betekintést ad a Szolgáltató közigazgatás – A tájékoztatáshoz való jog a magyar szociális ellátórendszerben című Wolters Kluwer-kiadvány egyes részleteibe.
Jogi projektmenedzsment az adatvédelmi megfelelőség terén
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A megfelelő szintű jogászi projekt menedzsment – a vállalkozás vezetősége által kialakított projekt team-mel együttműködve -, komoly hozzáadott értéket tud biztosítani az ügyfelek részére az adatvédelmi compliance projektek hatékonyságához, sikeréhez.
A személyes adatok védelme csak „jogi ügy”?
Számos cégvezető szerint az adatvédelem kizárólag – vagy szinte teljesen – jogi kérdés: kiadjuk a jogásznak, ír valamit, azt kitesszük a weboldalra, ha jön a hatóság, nekik bemutatjuk és minden rendben van. Rosszabb esetben jogász sem kerül bevonásra, hanem más cégek – jól, rosszul – megírt adatkezelési tájékoztatóit másolják le minimális átírással a vállalkozások és kezdik el használni, teszik ki a weboldalukra tényleges testreszabás nélkül. Sajnos ez még nagyon messze van az adatvédelmi megfelelőségtől (compliance), a jogszabályok maradéktalan betartásától. Minden cég működésében vannak személyes adatgyűjtések, kezelések, folyamatok, gondoljunk csak a munkavállalók adataira, vagy akár a partner cégek, ügyfelek kapcsolattartóinak személyes adataira, tehát az adatvédelemre való odafigyelést nem lehet csak úgy megúszni. Az adatvédelem lényege ugyanis nem egy darab „papír”, hanem az, hogy az adott cég adatkezelési folyamatai ténylegesen rendben legyenek és megfeleljenek a jogszabályoknak – az elhatározástól, a cél, eszközök, módszerek meghatározásától és kialakításától kezdve az adatok gyűjtésén, rendszerezésén, tárolásán, továbbításán, nyilvántartásán keresztül egészen azok törléséig, beleértve az érintettek tájékoztatását, kéréseinek megfelelő kezelését, a szükséges érdekmérlegelési tesztek, hatásvizsgálatok elvégzését és az esetleges adatvédelmi incidensek megfelelő kezelését, a szükséges adatfeldolgozói és közös adatkezelői szerződések megkötését is.
Hol itt a projekt?
A személyes adatok kezelése terén a teljes compliance, jogszabályi megfelelés elérése egy összetett, többrétű folyamat, ami tervezést, időt, valamint anyagi és ember erőforrásokat igényel, tehát egy valódi projekt. Ráadásul olyan projekt, ahol nem elég egyszer elérni a kitűzött célt, hanem folyamatosan fent is kell tartani az elért eredményt, azaz a személyes adatok jogszerű kezelését. Mint minden más projekthez, ehhez is mindenekelőtt egy ügyvezetői, felső vezetői szintű felismerés, elhatározás és elköteleződés szükséges, azaz egy tudatos döntés a cél elérésére. Következő lépés a megfelelő feltételek megteremtése a cégvezetés részéről a projekt végig viteléhez és sikeréhez: egyrészt a szervezeten belül a feladatok delegálásával, a felelősök kijelölésével és feléjük a cél és az elköteleződés, valamint a feladataik világos kommunikálásával, másrészt az ehhez szükséges idő és egyéb erőforrások (pl. ügyvéd) rendelkezésre bocsátásával. Azok az adatkezelők, ahol a jogszabály alapján kötelező adatvédelmi tisztviselő (DPO) alkalmazása – vagy ahol önként alkalmaznak DPO-t – egy jelentős lépéssel közelebb vannak a compliance eléréséhez, azonban tényleges eredmény csak úgy érhető el, ha a teljes szervezet elkötelezett és mindenki tisztában van a személyes adatok védelme terén a feladataival, felelősségével és ezeknek a feladatoknak folyamatosan eleget is tesznek.
Miért nem elég csak a jogász?
A fentiek erre részben választ is adnak. Az adatvédelmi compliance-hez mindenekelőtt a vállalkozás által alkalmazott külső, belső folyamatokat, adatgyűjtéseket, adatkezeléseket, digitális és egyéb rendszereket kell úgy kialakítani, hogy a személyes adatok célhoz kötött, biztonságos és valamennyi további jogszabályi követelménynek megfelelő kezelése azok teljes élettartama alatt biztosított legyen. A kialakított folyamatokat, rendszereket, szabályokat pedig az adatkezelés teljes folyamata alatt az egész vállalkozásnak, valamennyi munkavállalónak, alvállalkozónak, megbízottnak (cégcsoportok esetén a teljes cégcsoportnak) ténylegesen be is kell folyamatosan tartania. Ez tehát még abban az esetben sem egy egyszemélyes feladat, amennyiben a cégnek van állandó – belső vagy külső – jogásza és akkor sem, ha esetleg a DPO maga jogász, hanem ez egy csapatjáték, amelyben a teljes szervezetben mindenkinek megvan a maga szerepe. Igaz ez a kisebb, egyszerűbb szervezetekre is, de különösen igaz a nagyobb, összetettebb (pl. multinacionális) szervezetekre.
Mi a jogász szerepe?
Felmerül a kérdés, hogy akkor végül is mi a jogász szerepe az adatkezelési compliance projektben. A jogászoknak kiemelkedő szerepük van az adatvédelmi megfelelőség kialakításában, elérésében és fenntartásában. A jogász semmiképpen csak „egy” a sok résztvevő közül ebben a csapatjátékban, hanem olyan szereplő, akinek a háttér jogszabályi követelmények, az elérendő, betartandó adatvédelmi elvek ismerete – és adott esetben számos hasonló projektben történt részvétele – miatt elengedhetetlen szerepe van az adatvédelmi compliance program menedzselésében, koordinálásában, struktúrájának kialakításában, akár kicsit kilépve a klasszikus jogászi komfortzónából. A jogásznak az adatvédelmi projektekben általában kicsit mentornak, oktatónak, kicsit IT-snak, HR-esnek, marketingesnek, azaz bizonyos fokban a projekt motorjának kell lennie annak érdekében, hogy az ügyfél végül elégedett legyen az eredménnyel. A jogászok szerepe már a teljes adatvédelmi megfelelőség kialakítására, fenntartására irányuló vezetői szándék kialakításában is jelentős, hiszen a döntést általában részletes megbeszélés, jogszabályi tájékoztató, akár a menedzsmentnek tartott adatvédelmi tréning előzi meg (amely kitér a compliance hiányának rizikó faktoraira, a kiszabható bírságra is), a szándék kialakítását követően pedig a jogász aktívan részt vesz a feladatok meghatározásában, strukturálásában, a prioritás sorrend felállításában és a megvalósításban.
A jogászi projektmenedzsment
A személyes adatok kezelése még a legegyszerűbb szervezetben is összetett: jelenti egyrészt a munkavállalók személyes adatainak a kezelését, másrészt a fogyasztók vagy az üzletfelek, szerződéses partnerek kapcsolattartói személyes adatainak a kezelését a legváltozatosabb módokon, célokra, formákban, helyszíneken (pl. kamerarendszerek, céges gépjárművekben GPS, munkavállalói teljesítményértékelések, munkaerőkölcsönzés, rendezvényszervezés ügyfeleknek, fogyasztói nyereményjátékok, remarketing, weboldalakba ágyazott közösségi média pluginok, hírlevelek küldése, fotók felhasználása, külföldi anyacéghez továbbított adatok stb.). Elsődleges feladat bármely adatvédelmi audit, megfelelőségi program esetében ennek az adatvagyonnak a felmérése és leltározása, beleértve az adat útjának (data-flow), valamint élettartamának a feltérképezését is. Az adatvagyonleltárt az adott vállalkozás, azaz az adatkezelő szervezet tudja összeállítani. Ugyanakkor a jogásznak kell ezt a folyamatot menedzselnie több síkon is: Mindenekelőtt a jogásznak kell erre a célra egy megfelelő táblázatot összeállítania, amely sem több, sem kevesebb információt nem kér, mint ami a projekt további részeihez szükséges. Annak érdekében, hogy pontos és értékelhető információkkal töltse fel a vállalkozás az adatvagyonleltárt, célszerű az, ha a jogász a cégvezetéssel együtt aktívan részt vesz annak a meghatározásában is, hogy mely osztályok/funkciók, azon belül milyen pozícióban lévő munkavállalók töltsék ki a táblázatot és célszerű előzetes jogászi tréningben és közbenső/utólagos konzultációs lehetőségben is megállapodni a cégvezetéssel az adott munkavállalók részére. Amennyiben a jogász nem koordinálja aktívan az adatvagyon leltár összeállítását és nem valós, nem értékelhető adatok szerepelnek benne, az az egész további adatvédelmi megfelelőségi projekt kudarcát is magában hordozza.
Az adatvagyonleltár leltár összeállítása után következhetnek a további érdemi munkák, amelyeknek keretében a jogász egyrészt javaslatot tesz egyes szükséges átalakításokra (pl. ha egy meghatározott célhoz képest indokolatlanul több, más adatot gyűjt a vállalkozás, akkor a felesleges adatok kezelésének abbahagyására stb.), a további teendőkre (pl. érdekmérlegelési teszt, hatásvizsgálat, tréning tartása, adatkezelési nyilvántartás vezetése stb.) és a szükséges jogi dokumentumok megírására (pl. adatkezelési tájékoztatók, adatvédelmi szabályzat, adatfeldolgozói szerződésminta, közös adatkelői szerződés, adatkezelési nyilvántartás minta stb.). A feladatok sokrétűsége miatt a jogásznak ismét komoly szerepe van mindezen feladatoknak a strukturált összefoglalásában, lehetőleg táblázatos formában (Road Map) és annak a cégvezetés elé tárásában. Egy ilyen Road Map-nek akkor van tényleges értelme és hozzáadott értéke az ügyfél részére, amennyiben az eljáró ügyvédi iroda nem csak felsorolja a teendőket és az elkészítendő dokumentumokat, hanem minden egyes tételnél részletezi is konkrét feladatokat (pl. egy meglévő munkavállalói adatkezelési tájékoztató átnézése, átírása vagy egy nem létező munkavállalói tájékoztató teljes megírása), valamint megadja azokhoz a szükséges munkaórákat – kitérve az esetleges további konzultációs igényre is. Az azonosított feladatok/dokumentumok számától függően az esetek többségében nem lehet egyszerre, egyidőben minden megoldani, megvalósítani, így a jogásznak aktív szerepet kell vállalnia abban is, hogy a fontossági sorrendre javaslatot tegyen a cégvezetés részére és a cégvezetés által jóváhagyott prioritás sorrend a Road Map-ben rögzítésre kerüljön és a munkák abban a sorrendben készüljenek majd el. A jogi Road Map-ben a feladatok között szerepelhetnek olyanok is, amelyekben a jogásznak másodlagos szerepe van (pl. egy Információbiztonsági Szabályzat elsődlegesen nem jogászi feladat, de van adatvédelmi kihatása, aspektusa is), de ezekre is célszerű a Road Map-ben kitérni és a cégvezetés figyelmét ezeknek a feladatoknak a szükségességére is felhívni.
A jogászi szélesebb látószög, projekt menedzseri attitűd azt is jelenti, hogy a jogász nem állhat meg szűken vett adatvédelem területén, amikor jogszabályi megfelelésen dolgozik, hanem párhuzamosan – az adatvédelmi jogi Road Map-en kívül – fel kell hívnia az ügyfele figyelmét a kapcsolódó területek (pl. HR, marketing) tapasztalható esetleges hiányosságokra is és javaslatot kell tennie azok megoldására.
Az ügyvédi projekt menedzsment fontos része az is – és alapvető, jogos elvárás az ügyfelek részéről -, hogy az ügyfél részére nyújtott (fent részletezett) projekt menedzsment mellett megfelelően és hatékonyan menedzselje az ügyvédi iroda tevékenységét is a feladat ellátása során. Az ügyvédnek tehát a vállalt (Road Map-ben meghatározott) és az ügyfél által jóváhagyott feladatok megfelelő ellátását meg kell szerveznie az ügyvédi irodán belül is a projekt során és gondoskodnia kell arról, hogy az iroda erőforrásait hatékonyan használja fel, a vállalt munkaórákat pedig az ügyvédi iroda semmiképpen se lépje túl. Amennyiben nem fix díjas alapon történik az ügyféllel a megállapodás, abban az esetben is elvárnak az ügyfelek legalább egy körülbelüli óraszám becslést, de manapság még inkább egy ún. felülről korlátos (fee cap) ajánlatot, amely fölé semmiképpen sem emelkedhet a számlázott díj.
Az adatvédelemmel összefüggő valamennyi kérdésre, feladatra a jelen cikk témája és terjedelme miatt, természetesen, nem térhetünk ki. Ugyanakkor a fentiekkel, remélhetőleg, sikerült érzékeltetni azt, hogy a jogászi munka mennyivel több, színesebb és izgalmasabb a személyes adatok védelme, az adatvédelmi compliance projektek terén, mint pusztán egy-egy dokumentum megírása. Valamint azt is, hogy a megfelelő szintű jogászi projekt menedzsment – a vállalkozás vezetősége által kialakított projekt team-mel együttműködve -, milyen hozzáadott értéket tud biztosítani az ügyfelek részére az adatvédelmi compliance projektek hatékonyságához, sikeréhez.
A cikk szerzője Dr. Torma Sarolta, CLM Bitai & Partners Head of GDPR / Advertisement & Media / Commercial Law division, a CLM Bitai & Partners Ügyvédi Iroda szakértője. A CLM Bitai & Partners Ügyvédi Iroda a jogaszvilag.hu szakmai partnere.
