Vannak, akik már tavaly ősszel elkezdték a felkészülést, mégis csak szoros ütemterv mellett lesznek készek a jövő májusban életbe lépő EU-s adatvédelmi rendeletre.

Egy év múlva, 2018. május 25-én beindul a GDPR-nagyüzem (General Data Protection Regulation), azaz életbe lép az Európai Unió egységes adatvédelmi rendelete. Tavaly a Bitport is kiemelten, cikksorozatban foglalkozott a teendőkkel. Teendőkből azonban maradt bőven.

A Gartner meglehetősen lesújtó képet fest a vállalatok felkészültségi szintjéről: egy közelmúltban kiadott jelentése azt prognosztizálja, hogy 2018 végéig az érintett szervezetek fele nem fog megfelelni az új előírásoknak. A rendelet egyébként közel sem csak európai vállalatok érint, hatálya kiterjed minden olyan EU-n kívüli cégre is, amely uniós polgárok adatait kezeli.

De mit kell tenni a megfeleléshez?

Ellentmondásos helyzetek

A Balabit szakértője, Krasznay Csaba a MySec GDPR-nek szentelt konferenciáján a helyzet ellentmondásosságára világított rá. Egyfelől a rendelet azért született, hogy a személyes adatok védelme minden eddiginél nagyobb védelmet kapjon, és ehhez rendkívül sok technológiát, eszközt kell bevetni. Folyamatosan megfigyelnek bennünket – repülőtéren, utcán és így tovább –, aminek nem feltétlenül örülünk, de eközben elvárjuk, hogy garantálják a biztonságunkat. A dilemma tehát az, hogy hol van a határa a személyes adatok védelmének és a biztonságnak. Krasznay szerint ezt az ellentmondást a GDPR részben feloldja, részben azonban ki is élezi.

Egyes kutatások szerint jelenleg a kiberbiztonsági támadások éves szinten 3 ezer milliárd dollár kárt okoz globálisan, 2021-ben viszont már ennek duplája lesz a kár. Ennek megfelelően sokat is költünk a védelemre, eszközökre, szolgáltatásokra, emberi erőforrásokra. Hiába költünk azonban a biztonságra, ha elég egy rossz kattintás, és máris sérül az adatbiztonság. Az emberi tényezőre kell tehát koncentrálni. Pénzügyi szektor, közigazgatás stb. régóta és szigorúan szabályozott területek, hogy ezeket a problémákat minimalizálják. A GDPR ezt nyitja ki gyakorlatilag minden olyan szervezetre, amely bármilyen szinten kezel személyes adatokat.

A GDPR végrehajtása a kulcs

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke hosszasan vette sorra azt a teendőlistát, melyet a brit adatvédelmi szervezet, az Information Commissioner's Office állított össze arról, hogyan kell felkészülni a GDPR-re. (A listát egy kattintásnyira ismertettük részletesebben.)

Péterfalvi arra hívta fel a figyelmet, hogy a GDPR az uniós polgárok adatainak védelmét írja elő, kezeljék az adatokat bárhol is a világon. A rendelet ezzel reagál is a technológiai fejlődésre és a globalizációra.

De van egy másik szempont is: az EU-ban felhalmozódott személyes adatok értékét ezermilliárd euróra becsülik, azaz itt egy nagyon nagy üzletről is szó van, ami szintén arra sarkallta a döntéshozókat, hogy EU-szinten egységes szabályozás legyen, szemben a korábbi ajánlással, melyet minden tagország a maga módján implementálhatott.

A GDPR a korábbi ajánlással szemben közvetlenül alkalmazandó. Egyik fontos újdonsága, hogy megfordítja a bizonyítás folyamatát: az adatkezelőnek kell bizonyítania, hogy minden szempontból (technológia, folyamatok stb.) megfelel a rendelet előírásainak. Péterfalvi példaként a telefonos lehallgatást hozza. Magyarországon ebben például jelenleg kusza a helyzet, nem egyértelmű például, hogy az érintettnek egy rögzített telefonbeszélgetés leiratát vagy a felvételt kell megkapnia. A GDPR ebben is egyértelműbb helyzetet hoz, mert aszerint az érintettnek ki kell adni magának a hangfelvételnek a másolatát is.

Egyébként Péterfalvi is a fentebb már említett brit adatvédelmi hatóság tizenkét pontjából indult ki a teendő összefoglalásakor. Külön kiemelte az adatvédelmi tisztségviselő fontosságát. Mint mondta, több felsőoktatási intézményben indítottak ilyen szakirányú képzést.

Középpontban az elszámoltathatóság

A Gartner is azt javasolja, hogy mindenekelőtt meg kell határozni az adott szervezet helyzetét a GDPR vonatkozásában. Minden olyan szervezet, amely feldolgoz személyes adatokat, adatkezelőnek minősül, és vonatkozik rá az EU-s rendelet. És ha ez így van, köteles is kinevezni adatvédelmi felelőst. Ebbe a körbe az állami szervek is beletartoznak.

Az adatok csak célhoz kötötten kezelhetők, emiatt a tárol adatok minősége és relevanciája is nagyon fontos. A rendelet egyébként meg is szünteti a hallgatólagos beleegyezést, azaz minden esetben az adatkezelőnek egyértelműen meg kell szereznie az adatgazda beleegyezését, hogy adott adatokat adott célból felhasználhat-e. Az adatokat pedig úgy kell tárolni, hogy ahhoz illetéktelen ne férhessen hozzá, és ezt az adatkezelőnek bizonyítania is kell. A Gartner elemzői ezzel kapcsolatban megjegyzik: nagyon kevés az olyan szervezet, amely már minden olyan folyamatát azonosította, amelyben személyes adatokat is kezel.

Ez utóbbi ugyanakkor nagyon fontos, hiszen azokat, akiknek az adatait a szervezetek tárolják – őket nevezik adatalanyoknak –, a GDPR egy sor jogosítvány ad. A felejtés joga biztosítja, hogy az adatalany bármikor kérheti adatai végleges törlését (ez Péterfalvi szerint fizikai megsemmisítést jelent). Az adatkezelőnek biztosítani kell az adatok hordozhatóságát. Emellett tájékoztatási kötelessége is van: ha az adatokkal kapcsolatosan bármiféle biztonsági incidens (adatlopás, adatszivárgás stb.) történik, arról bizonyos határidőn belül tájékoztatnia kell az adatalanyt.

Péterfalvi szerint annak ellenére, hogy a GDPR rendelkezései minden tagállamban közvetlenül érvényesek, egy sor kérdést továbbra is az adott ország szabályoz a végrehajtás részletein keresztül.

Biztonság

Ismét keresik a hazai digitális szakma női példaképeit

A 40 év feletti női szakemberek elismerését célzó pályázatot immár harmadszorra hirdette meg az IVSZ és a WiTH.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.