GDPR adatvédelmi rendelet, megkerülhetetlen, de nem öncélú
Új EU-s adatvédelmi szabályozással szembesülnek a hazai cégeknek 2018. május 25-től. Számonkérni ugyan onnantól fogják, a felkészülést azonban már most érdemes elkezdeni.
Ma még keveseknek cseng ismerősen a GDPR kifejezés, de alig egy év múlva már a mindennapok része lesz. A mostanság taroló zsarolóvírusok és a nagy botrányt kavaró BKK-s etikus hacker ügy kapcsán is rengeteg szó esett a sajtóban az adatvédelemről, de az EU törvényhozása tesz róla, hogy a téma mostantól napi szinten foglalkoztassa a cégvezetőket. Mert ha önszántukból nem érzik a késztetést, akkor majd a 20 millió euró (vagy az éves árbevétel 4 százaléka) összegű büntetés lehetőségére biztosan felkapják a fejüket. Ez vár ugyanis azokra, akik nem felelnek meg a törvény által támasztott követelményeknek. A kellő “ösztönzés” tehát megvan, de lássuk, miféle elvárásoknak kell majd eleget tenni jövőre.
GDPR: általános adatvédelmi rendelet
A GDPR (General Data Protection Regulation) az EU 1995-ös, 95/46/EC számú adatvédelmi irányelvét váltja, azzal a céllal, hogy az EU-n belül egységesebb és hatékonyabb alapokat adjon a személyes adatok védelmének, online környezetben is.
A cégek számára röviden annyit jelent, hogy amennyiben ügyfeleik valamely személyes adatát - névtől, a valláson át, az egészségügyi adatokig - tárolják és felhasználják, akkor a személyes adatvédelem elszámoltathatósági körébe esnek. Így tájékoztatási kötelezettségük van - 72 órán belül - a felügyelő hatóságok, s adott esetben az érintett felhasználók felé, az adatokat ért incidensek (mondjuk hacker támadás) esetén. Ha nem teszik, jön a fentebb már említett mértékű bírság. Ennek kiszabása nem kötelező érvényű, egyedi mérlegelés alapján dönthet az adatvédelmi hatóság.
Személyes adatnak számít egyébként bármilyen dokumentum, de még a legkisebb adatmorzsa is, amely valamiképp kapcsolható egy ügyfélhez (természetes személyhez).
E szabályozás kötelezővé teszi a személyes adatok álnevesítését és titkosítását, az adatok kezelésére használt rendszerek, szolgáltatások biztosítását, integritását, rendelkezésre állását. Arról is gondoskodni kell, hogy bármilyen incidens esetén, az adatok visszaállíthatók legyenek. Az adatkezelés biztonságának garantálása végett pedig állandó tesztelést és értékelést is elvárnak. A megkövetelt titkosításon túl katasztrófa-helyreállítási terv készítése, és jelszó-visszaállítási, illetve kulcskezelési rendszerek alkalmazása is javasolt.
Enyhítések
Akadnak enyhítő körülmények is, bár ezek javarészt csak a tájékoztatásra vonatkoznak, a megelőzés érdekében tett intézkedésekre nem. Például az érintettek tájékoztatása nem kötelező, ha az adatkezelő alkalmazta az elvárt biztonsági megoldásokat (titkosítás stb.), esetleg további intézkedéseket is tett az incidenst követően, elhárítandó az adatszivárgás kockázatát.
Összegezve
A tövény célja az elszámoltathatóság és a biztonságosabb adatkezelés, a modern technológiai megoldások (például felhő) és az országhatárokon átívelő adatkezelés területén. Elősegítheti, hogy a felhasználók biztonságban tudják adataikat és értesüljenek bármilyen, azokat érintő incidensről.
Ugyan a GDPR erősít az adatvédelmi ellenőrzések terén, a benne foglalt elvárásoknak meg kellett volna felelnie a cégeknek, pusztán józan paraszti észre hallgatva is (a magyar szabályozás amúgy eddig is kellően szigorú volt). Mostantól e biztonsági megoldások elhagyása jelentős büntetéssel sújtja a felelőtlen adatkezelőket. Ideje hát elkezdeni a felkészülést, és ehhez érdemes szakértői segítséget kérni, nem csak azért, mert komoly anyagi vonzatú elvárásoknak kell megfelelni jövőre, hanem mert a kiberbűnözés is napi szinten jelen van immár az életünkben.
Tanácsok
A GDPR átfogó szabályozás, amelyet e cikk kereti között képtelenség minden részletében kitárgyalni. Teljes szövege elérhető magyar nyelven is az alábbi linken:
https://goo.gl/2iTUiZ
Alkalmazásához érdemes szakember tanácsát kérni, s nem csak a méretes pénzbüntetés elkerülése végett, hiszen az ügyfelek adatainak biztonsága a cég érdeke is, hiszen olykor az anyagi veszteségnél is nagyobb károkat okoz a bizalomvesztés.
Ami fontos: a hat R
Revenue (bevétel): büntetés az éves árbevétel 4%-a, vagy 20 millió EUR
Reputation (reputáció, üzleti érték): 72 órán belül köteles bejelenteni az adatokat érintő incidenst
Resource (erőforrás): adatvédelmi felelős és tisztviselő kijelölése kötelező
Results (eredmény): adatvédelmi hatástanulmány és belső szabályzat kötelező
Retroactive (visszaható): az adatkezelőnek a megörzési, felhasználási időn kívül minden észszerű lépést meg kell tenni az adatok végleges törlése érdekében (mentésből, médiáról, imageből, stb.)
Remote (távoli): Az érintettek számára bizonyos esetekben elektronikus csatornát kell biztosítani kérelmek benyújtására.
Vissza