Az EU általános adatvédelmi rendelete (GDPR) 2018. május 25-től minden olyan szervezetre kötelező, amely személyes adatokat kezel. A GDPR-nak való megfelelés biztosítása továbbra is komoly kihívás elé állítja a civil és az állami szféra szereplőit egyaránt. Sok esetben a siker kulcsa valamely, a megfelelést támogató szoftver beszerzése lehet, de vajon mely szempontokra érdemes figyelni annak kiválasztásakor?

A GDPR hatálya alá tartozó szervezetek feje felett Damoklész kardjaként lebeg az adatvédelmi szankciók, így különösen a potenciális bírság lehetősége. A magyar adatvédelmi felügyeleti hatóság, a NAIH bírságolási gyakorlata is jelzi, hogy a hatóság egyre kevésbé elnéző a jogsértő, vagy legalábbis nem teljes mértékben megfelelő adatkezelések kapcsán. Ezt a tendenciát a jelentős összegű bírságok növekvő száma is jelzi.

A nagyobb adatkezelő szervezetek esetében – tekintettel az adatkezelések sokszínűségére és összetett voltára – kézenfekvő megoldás lehet egy, a megfelelőséget támogató szoftveres megoldás beszerzése. Ezen szoftverek közös jellemzője, hogy többek között segítik feltérképezni az egyes adatkezelési folyamatokat, az adatkezelésekről szóló nyilvántartás, a szükséges adatkezelési tájékoztatók elkészítését, az érintetti kérelmek, adatvédelmi incidensek megfelelő kezelését, emellett egy egységes, könnyen átlátható platformot teremtenek az adatvédelmi tisztviselő, vagy egyéb, az adatvédelemért felelős munkatárs számára. Ezáltal megkönnyítik a sok esetben szerteágazó és nehezen adminisztrálható adatkezelési folyamatok átlátását. Emellett sok esetben az adatvédelmi hatásvizsgálatok, valamint érdekmérlegelési tesztek elvégzését is egyszerűbbé teszik és segítséget nyújthatnak az egyes adatok megőrzési idejének és a vonatkozó törlési / anonimizálási periódusok meghatározásában, amely szinte minden adatkezelő esetében nehéz feladat. Nem elhanyagolható előnyük továbbá, hogy használatukkal az adatkezelő egyszerűbben lesz képes igazolni a GDPR-megfelelőséget, amely az elszámoltathatóság elvéből fakadóan alapvető kötelezettség.

Számos piaci szereplő a szoftver termékhez további szolgáltatásként oktatást, vagy adatvédelmi tisztviselőt is biztosít ügyfelei részére.

De mégis mire kell figyelni a megfelelő szoftver kiválasztása és a kapcsolódó szolgáltatások megrendelése során?

Az igények azonosítása

Talán kézenfekvőnek tűnik, de az első és legfontosabb lépés annak meghatározása, hogy a szoftvernek pontosan milyen igényeket kell kiszolgálnia annak érdekében, hogy a szervezet megfeleljen a GDPR által támasztott kritériumoknak.

Az első látásra bonyolult és összetett szabályozás követelményrendszerét érdemes részekre bontani és ennek megfelelően meghatározni az igényeket. Itt kiemelendő annak pontos ismerete, hogy pontosan milyen funkciókra és támogatásra van szüksége az adatkezelőnek az adatkezelési folyamatok azonosítása és a vonatkozó nyilvántartások vezetése, adatkezelési tájékoztatók, érintetti jogok gyakorlása, vagy éppen az adatvédelmi incidensek kezelése körében. Említhető az esetleges adatfeldolgozó jogviszonyok megfelelő rendezésének igénye (pl. egységes szerződési gyakorlat kialakítása), vagy az adatvédelmi tisztviselő munkájának napi, adminisztratív támogatása is mint fontos szempont.

Az igények felmérése során javasolt lehet legalább a következő szempontokat mérlegelni:

• Melyek azok az adatkezelések, amelyek az átlagosnál jelentősebb kockázattal járnak az érintettekre nézve, vagy összetettségük, a kezelt adatok köre, esetleg az alkalmazott technológia miatt az átlagosnál nagyobb mértékű adatvédelmi tudatosságot, intézkedéseket igényelnek?
• Melyek azok a folyamatok a szervezet életében, amelyek nem működnek kellően hatékonyan, akár a nem megfelelő információ-áramlás miatt, akár a felelősök túlzott leterheltsége miatt (tipikus példája lehet ennek a törlési idők nyomon követése és a törlések tényleges megvalósítása)?
• Mennyiben tudná a felelősök napi munkáját megkönnyíteni a szoftver azáltal, hogy egy egységes, jól kezelhető, átlátható felületre kerülne becsatornázásra valamennyi adatvédelmi tárgyú feladat?

Szempontok a szoftver kiválasztása során

A GDPR-megfelelőséget biztosító szoftverek két fő csoportra oszthatók aszerint, hogy azokat a szolgáltató milyen modellben biztosítja.

Az egyik, kevésbé elterjedt modell a hagyományos értelemben a felhasználó gépére telepített szoftver termék, amelynek a személyre szabása a legtöbb esetben többlet-költségekkel és időigénnyel jár.

A másik típus a növekvő népszerűségnek örvendő, felhő alapú szolgáltatásként, havidíj ellenében igénybe vehető SaaS (Software as a Service) típusú szolgáltatás (akárcsak pl. a Dropbox, vagy a Google egyes alkalmazásai), amely kellő rugalmasságot biztosít, hiszen egyrészt adott esetben egyszerűbbé teszi nem csak a szoftver frissítését, finomhangolását, másrészt az igénybevétele kevesebb indulási költséggel jár, hiszen esetében nincs licencdíj vagy infrastrukturális költség. Ugyanakkor természetesen felmerülhet szervízdíj a naprakészen tartás / hibaelhárítás körében. Mindez ugyanakkor lehetővé teszi, hogy a kis- és középvállalkozások ugyanazon szoftverteljesítményt és biztonságot élvezzék, mint a nagyságrendekkel jelentősebb anyagi lehetőségekkel rendelkező piaci szereplők.

A díjak meglehetősen széles skálán mozognak, mértékük függ egyrészt a fentiekben említett jellemzőktől, a testreszabhatóság mértékétől, valamint a nyújtott szolgáltatások körétől. E körben beszélhetünk a legalapvetőbb funkciókat tartalmazó, adminisztratív jellegű támogatást nyújtó termékekről és azoknál lényegesen összetettebb, az adatvédelmi tisztviselő munkáját a GDPR minden területén segítő megoldásokról, amelyek adott esetben „intelligens” funkciókkal is bírnak (pl. érdekmérlegelési teszt vagy adatvédelmi hatásvizsgálat elkészítése megadott paraméterek alapján). Megemlítendő, hogy számos termék esetében lehetőség van a modulonkénti használatra is, lehetővé téve, hogy a funkciók teljes köréből kizárólag azokat használja az adott szervezet, amelyek számára a legnagyobb hozzáadott értéket képviselik. Ez nagymértékben növelheti a művelet költséghatékonyságát. Természetesen a költségek mellett a szoftveres megoldások használata hosszabb távon kiadáscsökkenéssel is járhat, hiszen megfelelő alkalmazás mellett jelentős munkaidő-megtakarítást eredményezhet, nem beszélve a potenciális adatvédelmi bírságok és egyéb szankciók elkerüléséről.

Látni kell, hogy egy támogató szoftver nem fogja egyszeri varázsütésre biztosítani a teljes GDPR-megfelelést a szervezet életében. Ugyanakkor, tekintettel a kezelendő terület bonyolult és komplex voltára, napjainkban egyre inkább elengedhetetlennek látszik, hogy az adatvédelmi tisztviselő, vagy egyéb, adatvédelmi feladatokkal megbízott kollégák munkáját olyan megoldás tegye egyszerűbbé, amely nem csak megkönnyíti a folyamat-menedzsmentet, de tényleges, jogi szempontból is releváns hozzáadott értéket produkál akár az adatkezelések feltérképezése, akár a kapcsolódó feladatok ütemezése, vagy éppen a megfeleléshez szükséges iratok elkészítése során.

dr. Bán Kristóf (kristof.b.ban@pwc.com), ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) vagy dr. Csenterics András (andras.csenterics@pwc.com) ügyvédekhez.