Az új, európai adatvédelmi szabályozás 2018-ban válik kötelezővé, de a felkészülést már most el kell kezdeni ahhoz, hogy a megfelelőség biztosított legyen. Összefoglaltuk a tizenkét legfontosabb teendőt.

Másfél éve van a szervezeteknek arra, hogy teljes mértékben felkészüljenek a GDPR ( General Data Protection Regulation), vagyis az EU általános adatvédelmi rendelete által előírt szabályozásra. Előző cikkeinkben kifejtettük a rendelet céljait, és bemutattuk a legfontosabb követelményeit. Most pedig hasznos tanácsok következnek ahhoz, hogy a rendeletnek való megfelelőséget időben biztosítani lehessen a vállalatok, intézmények berkein belül.

A rendelet egységes keretet kíván biztosítani az európai szintű adatvédelem számára, de azért sok ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. A nemzetközi cégeknek tehát továbbra is figyelniük kell majd a helyi sajátosságokra, és ennek megfelelően az egyes tagállamokban működő operációkra eltérő terhet ró majd a GDPR bevezetése.

A PCI DSS segít, de nem elegendő

Az, hogy a felkészüléshez milyen intézkedéseket kell foganatosítani, milyen beruházások kellenek hozzá, természetesen nagymértékben függ attól is, hogy egy adott szervezet jelenleg milyen compliance jellegű tevékenységet folytat. A Payment Card Industry Data Security Standard igazgatója, Jeremy King egy nyilatkozatában utalt is arra, hogy azoknak a szervezeteknek, melyek PCI DSS 3.2-es megfelelőséggel rendelkezik, nem fog gondot okozni a GDPR-re való ráhangolódás. Azt persze még ezeknek a szervezeteknek is érdemes szem előtt tartaniuk, hogy két nagyon eltérő követelményrendszerről van szó. Ugyanakkor kétségtelen, hogy a szigorú biztonsági előírásokkal működő cégeknek könnyebb dolguk lesz, hiszen – ellentétben más vállalatokkal – már nagyobb valószínűséggel tudják a válaszokat a következő kérdésekre:

– Milyen adatokat dolgozunk fel, illetve kezelünk?
– Hol tárolódnak az információk (fájlszinten, helyi adatbázisokban, felhőben stb.)?
– Ki férhet hozzá az adatokhoz (szervezeten belül és azon kívül)?
– Mi az adatkezelés célja?
– Milyen hozzájárulások állnak rendelkezésre a természetes személyektől az adatkezelés vonatkozásában?
– Milyen szintű adatszivárgás-megelőzés működik?

Ezek olyan alapvető kérdések, amelyek megválaszolása nélkül a GDPR előírásait kielégítő adatkezelés megvalósításához sem lehet hozzáfogni. Már csak azért sem, mert az EU rendelete előírja a kockázatértékelést és a feltárt kockázatok csökkentésére történő intézkedések meghozatalát.

Nagy-Britannia adatvédelemért felelős szervezete, az Information Commissioner's Office (ICO), Nagy-Britannia adatvédelemért felelős szervezete összeállított egy javaslatcsomagot, amellyel a GDPR-re történő felkészülés legfontosabb teendőit foglalta össze. Ez jó kiindulási pont lehet akár a hazai szervezeteknek is.

A felkészülés 12 pontja

1. Tudatosság. Mivel a GDPR erőfeszítéseket követel meg a szervezetek számos szintjén, ezért szükség van a felső vezetés elkötelezettségére, és nem utolsósorban a tudatosságára az adatvédelmet illetően. A döntéshozóknak tisztában kell lenniük azzal, hogy milyen elvárásokat támaszt a rendelet, és az milyen terheket ró a cégükre.

2. Információtárolás. Dokumentálni kell, hogy a személyes adatokat az adott cég hol tárolja, honnan származnak, ki férhet azokhoz hozzá, és az adatokat kikkel osztja meg. Ezt a fajta felmérést az adott vállalat minden szintjén, minden részlegén el kell végezi.

3. Kommunikáció. A jó esetben jelenleg is meglévő adatvédelmi szabályzatokat felül kell vizsgálni, és minél előbb átalakítani a GDPR kívánalmainak megfelelően.

4. Felhasználói jogok. Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani. Ilyen például a törléshez (elfeledtetéshez) való jog, amit az üzleti folyamatok és a technológia szintjén is kezelni kell. A magyar piacon is kaphatók olyan megoldások, melyek széles körben, akár felhős környezetben is használhatók a törvény szellemét követő adattörlésre.

5. Bejelentések, panaszok kezelése. Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.

6. Adatfeldolgozás. Azonosítani kell az adatfeldolgozó folyamatokat, és megtenni azokat a szükséges változtatásokat, amik biztosítják a GDPR-megfelelőséget.

7. Hozzájárulások rögzítése. A GDPR világosan kimondja, hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Vagyis olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Ez – és persze több más pont is – komoly adminisztrációs terhet ró a vállalatokra, ami új piacot is jelent az adatbiztonsági megoldásokat fejlesztő cégeknek. A magyar piacon például a KÜRT SeCube rendszere segíti az adminisztráció kézben tartását

8. Gyerekek jogai. A 16. életévüket (egyedi tagállami szabályozás szerint ez akár 13 év is lehet) be nem töltött személyek adatait csak szülői hozzájárulással lehet kezelni. A rendelet elvárása, hogy a technológiai lehetőségekhez mértén ellenőrizni kell azt, hogy a hozzájárulást valóban az arra jogosult szülő adta-e meg.

9. Adatvédelmi hatásvizsgálatok. A szervezeten belül adatvédelmi hatásvizsgálatokat kell lefolytatni, amelyek kapcsolódhatnak a kockázatmenedzsmenthez is. Érdemes mihamarabb kijelölni azokat a munkatársakat, akinek majd feladatuk lesz a vizsgálat lefolytatása, és meghatározni azokat a területeket, melyeket ennek a vizsgálatnak le kell fednie. Ugyancsak fontos az ún. privacy by design alapelv követése. Ez persze nem újdonság, hiszen arról van szó, hogy az adatvédelemnek már a termékek, szolgáltatások kialakítása, fejlesztése során szerephez kell(ene) jutnia.

10. Adatvédelmi tisztségviselő. Időben el kell dönteni, hogy a szervezetnél ki fogja végigvinni a GDPR-re való átállást. Ez történhet a jelenlegi adatvédelmi felelős bevonásával, vagy külső partner segítségével. Belső emberi erőforrások igénybevétele esetén figyelmet kell fordítani az adatvédelmi tisztségviselő képzésére.

11. Nem EU-s cégeknek is van teendőjük. A GDPR egyik nagyon fontos sajátossága, hogy nem kizárólag az EU-ban működő szervezetekre vonatkozik, hanem minden olyan vállalatra, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha az EU-ban történik az adatok tárolása, akkor alapvetően a GDPR a mérvadó, egyéb esetben nemzetközi szerződések, jogszabályok, megállapodások is szerepet kapnak. Ezért ezek jogi szempontból történő feltérképezése nélkülözhetetlen az EU-n kívüli multinacionális cégek számára.

12. Adatvédelmi incidensek kezelése. Végül, de nem utolsósorban, alaposan át kell gondolni az incidenskezeléssel összefüggő folyamatokat és a kapcsolódó technológiai hátteret. Ennek oka, hogy a GDPR előírja, hogy az adatvédelmi incidenseket azok felismerését követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell az illetékes felügyeleti hatóságnak. Ez pedig csak akkor kivitelezhető, ha rendelkezésre állnak a megfelelő eljárásrendek és technológiák. Az incidensek detektálásának és azt követő intézkedéseknek szigorúan szabályozott módon kell történniük, hogy a megfelelőség biztosított legyen egy esetleges nem várt esemény bekövetkeztekor.

Látható, hogy a GDPR többszintű megközelítést igényel, és nemcsak az adatvédelemre, hanem az adatbiztonságra is hatással lesz. Noha még sok a nyitott részletkérdés, főleg a technológiai megvalósításokat illetően, a felkészülést nem célszerű halogatni. Számos olyan teendő van, amiket már most el lehet végezni. Különösen érdemes figyelni az új szolgáltatások, termékek fejlesztésére, amikbe tanácsos beépíteni azokat a mechanizmusokat, melyek a személyes adatok új elvárásoknak megfelelő kezelését biztosítják.

Biztonság

Összeülnek az okosok az MWC-n, hogy átalakítsák a frenvenciagazdálkodást

Az európai operátorok frekvenciareformot szeretnének, az új amerikai szabályozási főnök pedig a netsemlegességen akar lazítani. Az MWC-n folyó szakmai vitákról Pataki Dánielt, a GSMA szabályozási alelnökét kérdeztük.
 
Hirdetés
Küszöbön áll egy kifejezetten a kis- és középvállalatok számára induló, jelentős részben vissza nem térítendő EU-s támogatást tartalmazó pályázat felhőalapú szolgáltatások bevezetésére. Mégsem csak ettől kell várni a megváltást.

a melléklet támogatója a MiniCRM

Hirdetés

Kitörési pont a kkv-knak

Ahhoz, hogy Magyarország fejlődni tudjon, elengedhetetlen a kis-, és középvállalkozások növekedése. De mi kell ahhoz, hogy ez teljesüljön? Cikkünkből kiderül! (x)

Egy nemzetközi kutatás szerint a szoftvergyártók auditja nem tesz jót az innovációnak, és a versenyt is gátolja. Segítsen felmérni a hazai helyzetet!
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.