Nem egészen négy hónap maradt az új, európai uniós szintű adatvédelmi szabályozás bevezetéséig. Itt az idő foglalkozni a kérdéssel!

Tavaly májusban a Gartner meglehetősen lesújtó képet festett a vállalatok GDPR-felkészültségi szintjéről: a piackutató előrejelzése szerint az érintett szervezetek fele még 2018 végén sem fog megfelelni a 2018. május 25-én életbe lépő General Data Protection Regulation irányelveinek. Pedig a szabályok be nem tartása esetén a hatóságok 20 millió euró vagy a jogsértés előtti pénzügyi év teljes világpiacon szerzett árbevételének 4 százalékát kitevő is a nyakukba varrhatnak.

Az új adatvédelmi törvényt minden szervezetnek alkalmazni kell, amely az Európai Unió – így Magyarország – területén személyes adatokat kezel. Márpedig ez minden cégre igaz. Itt vannak tehát az utolsó pillanatok, amikor még büntetés nélkül lehet korrigálni az elmaradást.

Az adatkezelés feltételei

Bár lapunkban is rengeteget foglalkoztunk a témával, érdemes újra és újra átismételni, hogy ki vagy mi minősül adatkezelőnek. A rendelet betűje szerint az a természetes személy vagy szervezet, aki vagy amely az adatkezelés célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza, adatkezelőnek minősül. Egy adatbázist több adatkezelő közösen is kezelhet.

A személyes adatok bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelő kötelezett a megfelelő és hatékony intézkedések végrehajtására, valamint, hogy igazolja az adatkezelési tevékenységek és hatékonyságuk GDPR-nak való megfelelését. Ennek keretei között minimálisra kell csökkenteni a személyes adatok kezelését, a lehető leghamarabb álnevesíteni kell azokat, biztosítani kell átláthatóságukat, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.

Az adatkezelő köteles nyilvántartást vezetni a hatásköre alapján végzett adatkezelési tevékenységekről, melynek tartalmaznia kell többek között a (közös) adatkezelő nevét és elérhetőségét, valamint természetesen az adatkezelés céljait. Emellett köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az ellenőrzés érdekében.

A GDPR azt az esetet is tisztázza, amikor az adatkezelést az adatkezelő nevében más végzi. Ilyen esetben az adatkezelő kizárólag a megfelelő garanciákat nyújtó adatfeldolgozókat vehet igénybe.

De hol vannak az adatok?

Gyakran elkövetett hiba, hogy a szervezet az általa kezelt adatok felmérése során csak az olyan triviális ügyfélinformáció-forrásokat veszi figyelembe, mint például a CRM- vagy a marketingrendszerek. Ennél ugyanakkor jóval sokrétűbbek lehetnek az adattárolási források. Gondoljunk például az okostelefonokra, mobil adattárolókra (pendrive-ok, külső merevlemezek), hálózati mappákra, archivált postafiókokra, közösségi hálózatokon tett megosztásokra, felhőben tárolt adatokra, leselejtezett IT-eszközökre, kinyomtatott dokumentumokra – a sor még sokáig folytatható.

Noha az új uniós rendelet nem szabályozza explicit módon az adattárolás technikáját, azt előírja, hogy az alkalmazott módszerek az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegyék lehetővé. A GDPR teljesítéséhez viszont módszertől függetlenül gondoskodni kell a személyes adatok megfelelő biztonságáról, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg").

Biztonság: általános elvek, nem konkrétumok

Az adatkezelőnek az előírás szerint megfelelő technikai és szervezési intézkedéseket kell végrehajtani annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ezt nem csak a személyes adatok álnevesítése és titkosítása során szükséges megtenni, hanem gondoskodni kell a rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosításáról is.

Értékelni kell az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmazni. Ezek meghatározásakor figyelembe kell venni a személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat is.

Az új adatbiztonsági szabályozás az adatvesztés esetére is kitér. Incidens bekövetkezte után az adatokhoz való hozzáférést "kellő időben" vissza kell állítani, áll a GDPR leírásában. Ezen túlmenően az adatkezelőnek gondoskodnia kell a létrehozott adatvédelmi megoldás rendszeres teszteléséről, értékeléséről. Így biztosított ugyanis, hogy nem csupán egyszer megugrandó akadály lesz a GDPR bevezetése, hanem a rendelkezés betartása folyamatos feladattá válik.

Egyszerre fogalmaz világosan és homályosan az európai uniós rendelkezés abban a tekintetben, hogy milyen eszközöket kell a feltételek biztosításának szolgálatába állítani. Konzekvensen a "tudomány és technológia állását figyelembe vevő" megoldásokat ír elő a reguláció, ami hátrány abban a tekintetben, hogy nem ad konkrét fogódzót az alkalmazandó eljárásokról és termékekről. Másrészt viszont előny is, mert nem szabályozza tételesen a felhasználható eszközök listáját, ennek hiánya pedig kellő szabadságot és rugalmasságot biztosít a GPDR technikai oldalról való betartásához.

Cloud & big data

Előfizetésekből és pólókból is tollasodhatnak a youtuberek

Bár a YouTube-on lehet a legjobban keresni, a videósok túlnyomó többségének a hideg vízre való sem jön össze. A platform új szolgáltatásai most a sok követővel és kevés bevétellel futó csatornákon segítenének.
 

Nyakunkon a negyedik ipari forradalom »

Már nem az automatizáció, hanem a tömeges testre szabhatóság a legújabb trend a gyártás területén. Az átállás azonban nem megy zökkenők nélkül.

Hirdetés - hybridIT BLOG »
Hirdetés

A felhőből érkezhet megoldás a zsarolóvírusokra

Azonnal felismeri, kezeli és megoldást nyújt a felhő alapú Cloud CPE rendszer a megjelenő zsarolóvírusokra. Az egyedülálló szolgáltatáshoz a T-Systems Magyarország ügyfelei Európában elsőként férhetnek hozzá.

Mintakeresés és –felismerés a személyes adatok védelmének szolgálatában. Természetesen a mesterséges intelligencia aktív közreműködésével.

a melléklet támogatója az SAS Institute

Hirdetés

Öt lépés a GDPR-kompatibilis adatkezeléshez

Az adatmenedzsment komplex feladat, amit a GDPR bevezetésével minden korábbinál körültekintőbben kell kezelni a cégeknek, különösen a heterogén vállalati rendszerekben. A többlépcsős folyamaton a SAS Institute szakértője, Szász Viktor vezet végig.

Reakció „A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál” című cikkünkre, amely a CIO Hungary 2018 konferencia tudásmegosztást segítő programjának tapasztalatait foglalta össze.

A CIO-k elmondták, hogy alkalmazható az agilitás egy nagyvállalatnál

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.