Másfél éve van a szervezeteknek arra, hogy teljes mértékben felkészüljenek a GDPR ( General Data Protection Regulation), vagyis az EU általános adatvédelmi rendelete által előírt szabályozásra. Előző cikkeinkben kifejtettük a rendelet céljait, és bemutattuk a legfontosabb követelményeit. Most pedig hasznos tanácsok következnek ahhoz, hogy a rendeletnek való megfelelőséget időben biztosítani lehessen a vállalatok, intézmények berkein belül.
A rendelet egységes keretet kíván biztosítani az európai szintű adatvédelem számára, de azért sok ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. A nemzetközi cégeknek tehát továbbra is figyelniük kell majd a helyi sajátosságokra, és ennek megfelelően az egyes tagállamokban működő operációkra eltérő terhet ró majd a GDPR bevezetése.
A PCI DSS segít, de nem elegendő
Az, hogy a felkészüléshez milyen intézkedéseket kell foganatosítani, milyen beruházások kellenek hozzá, természetesen nagymértékben függ attól is, hogy egy adott szervezet jelenleg milyen compliance jellegű tevékenységet folytat. A Payment Card Industry Data Security Standard igazgatója, Jeremy King egy nyilatkozatában utalt is arra, hogy azoknak a szervezeteknek, melyek PCI DSS 3.2-es megfelelőséggel rendelkezik, nem fog gondot okozni a GDPR-re való ráhangolódás. Azt persze még ezeknek a szervezeteknek is érdemes szem előtt tartaniuk, hogy két nagyon eltérő követelményrendszerről van szó. Ugyanakkor kétségtelen, hogy a szigorú biztonsági előírásokkal működő cégeknek könnyebb dolguk lesz, hiszen – ellentétben más vállalatokkal – már nagyobb valószínűséggel tudják a válaszokat a következő kérdésekre:
– Milyen adatokat dolgozunk fel, illetve kezelünk?
– Hol tárolódnak az információk (fájlszinten, helyi adatbázisokban, felhőben stb.)?
– Ki férhet hozzá az adatokhoz (szervezeten belül és azon kívül)?
– Mi az adatkezelés célja?
– Milyen hozzájárulások állnak rendelkezésre a természetes személyektől az adatkezelés vonatkozásában?
– Milyen szintű adatszivárgás-megelőzés működik?
Ezek olyan alapvető kérdések, amelyek megválaszolása nélkül a GDPR előírásait kielégítő adatkezelés megvalósításához sem lehet hozzáfogni. Már csak azért sem, mert az EU rendelete előírja a kockázatértékelést és a feltárt kockázatok csökkentésére történő intézkedések meghozatalát.
Nagy-Britannia adatvédelemért felelős szervezete, az Information Commissioner's Office (ICO), Nagy-Britannia adatvédelemért felelős szervezete összeállított egy javaslatcsomagot, amellyel a GDPR-re történő felkészülés legfontosabb teendőit foglalta össze. Ez jó kiindulási pont lehet akár a hazai szervezeteknek is.
A felkészülés 12 pontja
1. Tudatosság. Mivel a GDPR erőfeszítéseket követel meg a szervezetek számos szintjén, ezért szükség van a felső vezetés elkötelezettségére, és nem utolsósorban a tudatosságára az adatvédelmet illetően. A döntéshozóknak tisztában kell lenniük azzal, hogy milyen elvárásokat támaszt a rendelet, és az milyen terheket ró a cégükre.
2. Információtárolás. Dokumentálni kell, hogy a személyes adatokat az adott cég hol tárolja, honnan származnak, ki férhet azokhoz hozzá, és az adatokat kikkel osztja meg. Ezt a fajta felmérést az adott vállalat minden szintjén, minden részlegén el kell végezi.
3. Kommunikáció. A jó esetben jelenleg is meglévő adatvédelmi szabályzatokat felül kell vizsgálni, és minél előbb átalakítani a GDPR kívánalmainak megfelelően.
4. Felhasználói jogok. Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani. Ilyen például a törléshez (elfeledtetéshez) való jog, amit az üzleti folyamatok és a technológia szintjén is kezelni kell. A magyar piacon is kaphatók olyan megoldások, melyek széles körben, akár felhős környezetben is használhatók a törvény szellemét követő adattörlésre.
5. Bejelentések, panaszok kezelése. Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.
6. Adatfeldolgozás. Azonosítani kell az adatfeldolgozó folyamatokat, és megtenni azokat a szükséges változtatásokat, amik biztosítják a GDPR-megfelelőséget.
7. Hozzájárulások rögzítése. A GDPR világosan kimondja, hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Vagyis olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Ez – és persze több más pont is – komoly adminisztrációs terhet ró a vállalatokra, ami új piacot is jelent az adatbiztonsági megoldásokat fejlesztő cégeknek. A magyar piacon például a KÜRT SeCube rendszere segíti az adminisztráció kézben tartását
8. Gyerekek jogai. A 16. életévüket (egyedi tagállami szabályozás szerint ez akár 13 év is lehet) be nem töltött személyek adatait csak szülői hozzájárulással lehet kezelni. A rendelet elvárása, hogy a technológiai lehetőségekhez mértén ellenőrizni kell azt, hogy a hozzájárulást valóban az arra jogosult szülő adta-e meg.
9. Adatvédelmi hatásvizsgálatok. A szervezeten belül adatvédelmi hatásvizsgálatokat kell lefolytatni, amelyek kapcsolódhatnak a kockázatmenedzsmenthez is. Érdemes mihamarabb kijelölni azokat a munkatársakat, akinek majd feladatuk lesz a vizsgálat lefolytatása, és meghatározni azokat a területeket, melyeket ennek a vizsgálatnak le kell fednie. Ugyancsak fontos az ún. privacy by design alapelv követése. Ez persze nem újdonság, hiszen arról van szó, hogy az adatvédelemnek már a termékek, szolgáltatások kialakítása, fejlesztése során szerephez kell(ene) jutnia.
10. Adatvédelmi tisztségviselő. Időben el kell dönteni, hogy a szervezetnél ki fogja végigvinni a GDPR-re való átállást. Ez történhet a jelenlegi adatvédelmi felelős bevonásával, vagy külső partner segítségével. Belső emberi erőforrások igénybevétele esetén figyelmet kell fordítani az adatvédelmi tisztségviselő képzésére.
11. Nem EU-s cégeknek is van teendőjük. A GDPR egyik nagyon fontos sajátossága, hogy nem kizárólag az EU-ban működő szervezetekre vonatkozik, hanem minden olyan vállalatra, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha az EU-ban történik az adatok tárolása, akkor alapvetően a GDPR a mérvadó, egyéb esetben nemzetközi szerződések, jogszabályok, megállapodások is szerepet kapnak. Ezért ezek jogi szempontból történő feltérképezése nélkülözhetetlen az EU-n kívüli multinacionális cégek számára.
12. Adatvédelmi incidensek kezelése. Végül, de nem utolsósorban, alaposan át kell gondolni az incidenskezeléssel összefüggő folyamatokat és a kapcsolódó technológiai hátteret. Ennek oka, hogy a GDPR előírja, hogy az adatvédelmi incidenseket azok felismerését követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell az illetékes felügyeleti hatóságnak. Ez pedig csak akkor kivitelezhető, ha rendelkezésre állnak a megfelelő eljárásrendek és technológiák. Az incidensek detektálásának és azt követő intézkedéseknek szigorúan szabályozott módon kell történniük, hogy a megfelelőség biztosított legyen egy esetleges nem várt esemény bekövetkeztekor.
Látható, hogy a GDPR többszintű megközelítést igényel, és nemcsak az adatvédelemre, hanem az adatbiztonságra is hatással lesz. Noha még sok a nyitott részletkérdés, főleg a technológiai megvalósításokat illetően, a felkészülést nem célszerű halogatni. Számos olyan teendő van, amiket már most el lehet végezni. Különösen érdemes figyelni az új szolgáltatások, termékek fejlesztésére, amikbe tanácsos beépíteni azokat a mechanizmusokat, melyek a személyes adatok új elvárásoknak megfelelő kezelését biztosítják.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak