Mindössze kilenc hónap maradt a GDPR (General Data Protection Regulation – egységes adatvédelmi szabályozás) bevezetéséig. 2018. május 25-ig minden érintett szervezetnek fel kell készülni az Európai Unió rendeletére. Bár az utóbbi időben nagyobb ütemben nő a felhőszolgáltatásokat használók száma, sokakat továbbra is visszatart, hogy nem érzik biztonságban az adataikat. Ez érthető, hiszen napjainkra az információ biztonsága lett a legfontosabb tényező.

Több évnyi egyeztetés után tavaly megszületett az Európai Unió általános adatvédelmi rendelete, a GDPR. Az új szabályozás megalkotását az indokolta, hogy az eddig érvényben lévő, már több mint húsz éves irányelv felett a technikai fejlődés miatt eljárt az idő. Szükségessé vált egy olyan jogi alap megteremtése, amely úgy biztosít az európai hagyományoknak megfelelően erős adatvédelmet, hogy közben jobban alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.

A szabályozás két fő eleme az általános adatvédelmi rendelet (GDPR) – amely az adatgyűjtést és -feldolgozást szabályozza újra, és ebben egységesebb környezetet teremt az EU-n belül –, valamint az új adatvédelmi irányelv (Data Protection Directive, DPD), amely a rendőri és egyéb bűnüldöző szervek adathozzáférését szabályozza, illetve megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és -igénylésre.

Felkészülés lépésről lépésre

A GDPR alappillére, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg. Az adatvédelem reformja egyben a bizalomhiányt is kívánja orvosolni oly módon, hogy erősödik a személyes adatok védelme és az állampolgároknak több jogot ad. A tagországonként eltérő előírások helyébe egy egységes szabályrendszert ír elő az Unió egész területén, minden európai és tengeren túli adatkezelő számára. Így az "egy kontinens egy törvény" elv fog életbe lépni.

A GDPR általánossá tesz egy pozíciót a vállalatoknál: kell ugyanis egy adatvédelmi felelős. A feladata lesz, hogy felügyelje az új adatvédelmi jogszabályok betartását a magasabb szintű adatkezelési műveleteket végző vállalatoknál és hatóságoknál.
A posztot betöltheti megfelelő tapasztalattal rendelkező saját alkalmazott, de szerződéssel akár külsős adatvédelmi szakértő is.

De ez csak a felszín, a GDPR bevezetése ugyanis komoly szervezeti és technikai kihívás elé állítja a szervezeteket. A felkészülés alapja a tudatos stratégiai tervezés. A szervezeten belül először a vezetőknek és döntéshozóknak kell tisztában lenniük azzal, hogy az Infotörvényhez képest milyen újdonságot hoz a GDPR, és ennek megfelelően kell megtervezniük az átállást, figyelembe véve annak esetleges anyagi vonzatait is.

Meg kell határozniuk, hogy a GDPR mely területeket, munkaköröket érinti a szervezeten belül, és a változásokra fel kell készíteni az alkalmazottakat. Végül, de nem utolsósorban a törvény megköveteli az adatkezelés, -továbbítás, -törlés pontos dokumentálását is.

Ha felhőt használ, erre számítson

Egyre több adatot tárolunk a felhőben. Képeink, zenéink, videóink, e-mailjeink, személyes és céges adataink tárolódnak valahol a felhőben. A cloud computing bizonyos értelemben speciális adatfeldolgozásnak tekinthető. Eleve sok esetben nincs írásos megbízás az adatkezelő és az adatfeldolgozó között. Fontos, hogy a platformokon tárolt adatok tulajdonosa az ügyfél legyen, adatai felett a teljes ellenőrzést az ügyfél gyakorolja.

Az adatkezelő a felhő felhasználója. A felhőszolgáltató adatfeldolgozónak tekinthető, aki a személyes adatokat a felhasználó érdekében dolgozza fel. Éppen ezért a felhőszolgáltatók kötelesek a személyes adatok bizalmas kezelésére, és csak az adatkezelő utasítására végezhetnek adatfeldolgozást. Ehhez nagyfokú bizalom is kell az ügyfelek részéről. A CISPE (Cloud Infrastructure Services Providers in Europe), amely több mint húsz,  Európában működő felhőszolgáltatót tömörítő szervezet, megalakulása után létrehozott egy Magatartási Kódexet tagjai számára, amit ezt a bizalmat hivatott erősíteni.

Azok a szolgáltatók, melyek elfogadták a Magatartási Kódexet, nem végezhetnek adatbányászatot vagy elemzést ügyfeleik személyi adatain marketing, reklámozás vagy hasonló célokra sem maguknak, sem harmadik félnek. A Kódex elsőbbséget élvez az új Általános Adatvédelmi Rendelettel szemben. A követelmények megegyeznek a rendelet által kiszabott fő célokkal, és kiterjesztik az adatvédelmi folyamatokat mind a szolgáltatóra, mint a felhasználóra.

A CISPE tanúsítja is a Magatartási Kódexet alkalmazó szolgáltatókat. A szervezet erre vonatkozó emblémáját használók esetében garantálja, hogy az adott szolgáltatók nem fognak elérni vagy felhasználni felhasználói adatokat saját céljukból.

A kilenc hónap tehát nem csak teher, hanem lehetőség is. Jövő év májusától a jelenlegi adatáramlási infrastruktúrához képest jóval magasabb biztonsági szintet kapunk a szolgáltatóktól, de ehhez nekünk is fel kell készülnünk a rendeletre.

A cikk az Aruba Cloud megbízásából készült. A CISPE-tagsággal rendelkező felhőszolgáltató szolgáltatásairól az alábbi linken olvashatnak bővebben.