Alig több, mint fél év választ el bennünket az európai uniós egységes adatvédelmi rendelet bevezetésétől. Egészen pontosan 2018. május 25-én lép életbe a GDPR, azaz a General Data Protection Regulation. Ehhez képest májusban a  Gartner még meglehetősen lesújtó képet festett a vállalatok felkészültségi szintjéről: előrejelzése szerint 2018 végéig az érintett szervezetek fele nem fog megfelelni az új előírásoknak. Pedig a szabályok be nem tartása esetén, az új előírások szerint, az árbevétel 4 százalékának megfelelő bírságot - maximum 20 millió eurót - is a nyakukba varrhatnak.

Tovább nehezíti a helyzetet, hogy a GDPR-ral összefüggő feladatok megoldásához értő IT-biztonsági szakértőkből minden korábbinál nagyobb a hiány. Egy márciusi becslés szerint legalább 4-5 ezer ilyen profilú állás betöltetlen. Még lesújtóbb a kép, ha megfordítva vizsgáljuk a helyzetet: Magyarországon az újfajta elvárásokhoz értők legfeljebb ötvenen voltak csupán idén tavasszal.

Pedig a feladat megoldásának szükségessége jó ideje ismert már, és számos segítség is rendelkezésre áll ehhez. Nagy-Britannia adatvédelemért felelős szervezete, az Information Commissioner's Office (ICO) összeállított egy javaslatcsomagot, amellyel a GDPR-re történő felkészülés legfontosabb teendőit foglalta össze. Ez jó kiindulási pont lehet akár a hazai szervezeteknek is.

Tiszta vizet a pohárba

A rendelet azért született, hogy a személyes adatok minden eddiginél nagyobb védelmet kapjanak, de mindeközben a kiberbiztonság szintje is emelhető legyen. Hiába költünk azonban, ha elég egy rossz kattintás, és máris sérül az adatbiztonság. Az emberi tényezőre kell tehát koncentrálni. Pénzügyi szektor, közigazgatás stb. régóta és szigorúan szabályozott területek, hogy ezeket a problémákat minimalizálják. A GDPR ezt nyitja ki gyakorlatilag minden olyan szervezetre, amely bármilyen szinten kezel személyes adatokat. Ezek alatt nem csupán a vállalatokat kell érteni, a szabályozás a közhatalmi vagy egyéb, közfeladatot ellátó szervekre is vonatkozik. Ezek meghatározását a tagállamokra bízza, de good practice-ként azt javasolja, hogy ide tartoznak a nemzeti regionális, helyi hatóságok és egy sor egyéb közintézmény - például közlekedési, vízközmű, útfenntartó, és energetikai vállalatok, valamint közszolgálati műsorszolgáltatók, szakmai testületek - is.

Létezik egy másik szempont is: az EU-ban felhalmozódott személyes adatok értékét ezermilliárd euróra becsülik. Ez arra sarkallta a döntéshozókat, hogy EU-szinten egységes szabályozás szülessen, szemben a korábbi ajánlással, melyet minden tagország a maga módján implementálhatott. A rendelet egyébként közel sem csak európai vállalatokat érint, hatálya kiterjed minden olyan EU-n kívüli cégre is, amely uniós polgárok adatait kezeli.

Fontos újdonsága, hogy megfordítja a bizonyítás folyamatát: az adatkezelőnek kell bizonyítania, hogy minden szempontból (technológia, folyamatok stb.) megfelel a rendelet előírásainak, Magyarországon ebben például jelenleg kusza a helyzet, nem egyértelmű például telefonos lehallgatás esetén, hogy az érintettnek egy rögzített telefonbeszélgetés leiratát vagy a felvételt kell megkapnia. A GDPR ezt is egyértelműbbé teszi, mert aszerint az érintettnek ki kell adni magának a hangfelvételnek a másolatát is.

A szabályozás másik eleme az új adatvédelmi irányelv (Data Protection Directive, DPD). Ez a rendőri és egyéb bűnüldöző szervek adathozzáférését szabályozza, illetve megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és -igénylésre.

Munkáltatói oldalról nézve

Számos olyan információt kezelnek a vállalkozások, melyek személyes adatnak minősülnek, hiszen ezekre szüksége van például a bérek kifizetéséhez. A személyazonosító adatokon (név, születési hely, lakcím és így tovább) túl azonban ide tartoznak olyan információk is, mint például a munkavállalóról készült képmások és hangfelvételek, de például az adott személy szokásai - szabadidős elfoglaltságai, vásárlási habitusa stb. - is, amennyiben arról az adott szervezetnek tudomása van.

Ugyanígy a munkaadó rendelkezésére állhat a munkavállaló állapotára - egészségügyi, fizikai, mentális - vonatkozó adatai. Számos munkahelyen pedig akár fizikai tartózkodási helyeiről is folyamatos adatgyűjtés történhet; jellemzően a nem irodai munkahelyek - például szállítmányozás, területi képviselők stb. - esetén. A GPS-en történő nyomkövetés szintén a munkavállalóra vonatkozó adatnak számít.

A fentieken túl újra kell gondolni a személyazonosság-kezelési (Identity Management) feladatokat, vagyis annak meghatározását, hogy ki, milyen eszközről, mit tehet meg a vállalati hálózaton. Az így előálló adatok szintén a GDPR hatálya alá esnek, ahogy a mobileszköz-menedzsment (Mobile Device Management, MDM) területe is. Különösen a BYOD (Bring Your Own Device) trend kibontakozásával nem mindegy, hogy az alkalmazott saját készülékével kezelt személyes adatok mennyire védettek.

(Nem csak) adminisztratív teendők

Ahhoz, hogy a fent említett információk kezelése megfeleljen az GDPR szabályainak, első lépésként az aktuálisan kezelt adatvagyont kell felmérni. A munkáltatónak be kell azonosítania, hogy milyen személyes adatokat tárol és használ, és mindezt milyen jogalapon, milyen célból teszi. Második lépésként ugyanezt meg kell tennie a jövőre vonatkozóan, illetve fel kell mérnie, hogy az adatkezelési folyamatok során ki lesz jogosult a személyes adatokhoz hozzáférni. A személyes adatok tárolásának idejéről is döntést kell hoznia azon jogszabályok alapján, amelyek a munkáltatót a meghatározott személyes adatok őrzésére kötelezik.

Számos vállalat használ egységes HR-adatbázisokat, amelyekhez nem csupán az Európai Unió országaiból, hanem esetenként azokon kívülről is lehet hozzáférése egyes személyeknek. Ezen adatbázisok szükségességét felül kell vizsgálni és amennyiben a munkáltató, illetve anyacége az adatbázis fenntartása mellett dönt, úgy az adatbázis adattartalmát, továbbá a hozzáférést, a tárolás időtartamát át kell alakítani a GDPR szabályainak megfelelően. Természetesen a fent említett összes információról tájékoztatni kell a munkavállalókat.

A GDPR szabályainak végrehajtása nem csupán adminisztratív teendőkkel jár. Az egyes IT-rendszerek adatbiztonsági megfelelőségét is felül kell vizsgálni, továbbá olyan komplex feladatokat kell megoldani, mint a már nem szükséges vagy jogalap nélkül kezelt adatok (lehetőleg automatikus) törlése, esetleg anonimizálása, vagy például az adathordozhatóság feltételeinek kialakítása, hívta fel a figyelmet a teendőkre a PwC. Az esetlegesen bekövetkező incidensekről pedig maximum 72 órán belül bejelentést kell tenni – e szabály léte önmagában is szigorúbban kezelt adatbiztonságot eredményez.