Nem egészen négy hónap maradt az új, európai uniós szintű adatvédelmi szabályozás bevezetéséig. Itt az idő foglalkozni a kérdéssel!
Hirdetés
 

Tavaly májusban a Gartner meglehetősen lesújtó képet festett a vállalatok GDPR-felkészültségi szintjéről: a piackutató előrejelzése szerint az érintett szervezetek fele még 2018 végén sem fog megfelelni a 2018. május 25-én életbe lépő General Data Protection Regulation irányelveinek. Pedig a szabályok be nem tartása esetén a hatóságok 20 millió euró vagy a jogsértés előtti pénzügyi év teljes világpiacon szerzett árbevételének 4 százalékát kitevő is a nyakukba varrhatnak.

Az új adatvédelmi törvényt minden szervezetnek alkalmazni kell, amely az Európai Unió – így Magyarország – területén személyes adatokat kezel. Márpedig ez minden cégre igaz. Itt vannak tehát az utolsó pillanatok, amikor még büntetés nélkül lehet korrigálni az elmaradást.

Az adatkezelés feltételei

Bár lapunkban is rengeteget foglalkoztunk a témával, érdemes újra és újra átismételni, hogy ki vagy mi minősül adatkezelőnek. A rendelet betűje szerint az a természetes személy vagy szervezet, aki vagy amely az adatkezelés célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza, adatkezelőnek minősül. Egy adatbázist több adatkezelő közösen is kezelhet.

A személyes adatok bármilyen jellegű kezelése tekintetében az adatkezelő hatáskörét és felelősségét szabályozni kell. Az adatkezelő kötelezett a megfelelő és hatékony intézkedések végrehajtására, valamint, hogy igazolja az adatkezelési tevékenységek és hatékonyságuk GDPR-nak való megfelelését. Ennek keretei között minimálisra kell csökkenteni a személyes adatok kezelését, a lehető leghamarabb álnevesíteni kell azokat, biztosítani kell átláthatóságukat, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat.

Az adatkezelő köteles nyilvántartást vezetni a hatásköre alapján végzett adatkezelési tevékenységekről, melynek tartalmaznia kell többek között a (közös) adatkezelő nevét és elérhetőségét, valamint természetesen az adatkezelés céljait. Emellett köteles a felügyeleti hatósággal együttműködni és ezeket a nyilvántartásokat kérésre hozzáférhetővé tenni az ellenőrzés érdekében.

A GDPR azt az esetet is tisztázza, amikor az adatkezelést az adatkezelő nevében más végzi. Ilyen esetben az adatkezelő kizárólag a megfelelő garanciákat nyújtó adatfeldolgozókat vehet igénybe.

De hol vannak az adatok?

Gyakran elkövetett hiba, hogy a szervezet az általa kezelt adatok felmérése során csak az olyan triviális ügyfélinformáció-forrásokat veszi figyelembe, mint például a CRM- vagy a marketingrendszerek. Ennél ugyanakkor jóval sokrétűbbek lehetnek az adattárolási források. Gondoljunk például az okostelefonokra, mobil adattárolókra (pendrive-ok, külső merevlemezek), hálózati mappákra, archivált postafiókokra, közösségi hálózatokon tett megosztásokra, felhőben tárolt adatokra, leselejtezett IT-eszközökre, kinyomtatott dokumentumokra – a sor még sokáig folytatható.

Noha az új uniós rendelet nem szabályozza explicit módon az adattárolás technikáját, azt előírja, hogy az alkalmazott módszerek az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegyék lehetővé. A GDPR teljesítéséhez viszont módszertől függetlenül gondoskodni kell a személyes adatok megfelelő biztonságáról, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg").

Biztonság: általános elvek, nem konkrétumok

Az adatkezelőnek az előírás szerint megfelelő technikai és szervezési intézkedéseket kell végrehajtani annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ezt nem csak a személyes adatok álnevesítése és titkosítása során szükséges megtenni, hanem gondoskodni kell a rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosításáról is.

Értékelni kell az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmazni. Ezek meghatározásakor figyelembe kell venni a személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat is.

Az új adatbiztonsági szabályozás az adatvesztés esetére is kitér. Incidens bekövetkezte után az adatokhoz való hozzáférést "kellő időben" vissza kell állítani, áll a GDPR leírásában. Ezen túlmenően az adatkezelőnek gondoskodnia kell a létrehozott adatvédelmi megoldás rendszeres teszteléséről, értékeléséről. Így biztosított ugyanis, hogy nem csupán egyszer megugrandó akadály lesz a GDPR bevezetése, hanem a rendelkezés betartása folyamatos feladattá válik.

Egyszerre fogalmaz világosan és homályosan az európai uniós rendelkezés abban a tekintetben, hogy milyen eszközöket kell a feltételek biztosításának szolgálatába állítani. Konzekvensen a "tudomány és technológia állását figyelembe vevő" megoldásokat ír elő a reguláció, ami hátrány abban a tekintetben, hogy nem ad konkrét fogódzót az alkalmazandó eljárásokról és termékekről. Másrészt viszont előny is, mert nem szabályozza tételesen a felhasználható eszközök listáját, ennek hiánya pedig kellő szabadságot és rugalmasságot biztosít a GPDR technikai oldalról való betartásához.

Cloud & big data

Kikupálódott a szingapúri dohányosokra vadászó MI

A szigorú törvényeiről és magas technológiai szintjéről ismert városállam a tilos helyen dohányzókat is automatikus megfigyeléssel igyekszik tetten érni.
 
Hirdetés

A NIS2-megfelelőség néhány technológiai aspektusa

A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.

Az uniós direktíva felpezsdíti a magyar kiberbiztonsági piacot, az auditokból átfogóbb képet kapunk a gazdaság és az ország kiberképességeiről is. Interjú dr. Bencsik Balázzsal, az SZTFH kibervédelmi igazgatójával.

a melléklet támogatója a RelNet Technológia Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.