Vannak, akik már tavaly ősszel elkezdték a felkészülést, mégis csak szoros ütemterv mellett lesznek készek a jövő májusban életbe lépő EU-s adatvédelmi rendeletre.

Egy év múlva, 2018. május 25-én beindul a GDPR-nagyüzem (General Data Protection Regulation), azaz életbe lép az Európai Unió egységes adatvédelmi rendelete. Tavaly a Bitport is kiemelten, cikksorozatban foglalkozott a teendőkkel. Teendőkből azonban maradt bőven.

A Gartner meglehetősen lesújtó képet fest a vállalatok felkészültségi szintjéről: egy közelmúltban kiadott jelentése azt prognosztizálja, hogy 2018 végéig az érintett szervezetek fele nem fog megfelelni az új előírásoknak. A rendelet egyébként közel sem csak európai vállalatok érint, hatálya kiterjed minden olyan EU-n kívüli cégre is, amely uniós polgárok adatait kezeli.

De mit kell tenni a megfeleléshez?

Ellentmondásos helyzetek

A Balabit szakértője, Krasznay Csaba a MySec GDPR-nek szentelt konferenciáján a helyzet ellentmondásosságára világított rá. Egyfelől a rendelet azért született, hogy a személyes adatok védelme minden eddiginél nagyobb védelmet kapjon, és ehhez rendkívül sok technológiát, eszközt kell bevetni. Folyamatosan megfigyelnek bennünket – repülőtéren, utcán és így tovább –, aminek nem feltétlenül örülünk, de eközben elvárjuk, hogy garantálják a biztonságunkat. A dilemma tehát az, hogy hol van a határa a személyes adatok védelmének és a biztonságnak. Krasznay szerint ezt az ellentmondást a GDPR részben feloldja, részben azonban ki is élezi.

Egyes kutatások szerint jelenleg a kiberbiztonsági támadások éves szinten 3 ezer milliárd dollár kárt okoz globálisan, 2021-ben viszont már ennek duplája lesz a kár. Ennek megfelelően sokat is költünk a védelemre, eszközökre, szolgáltatásokra, emberi erőforrásokra. Hiába költünk azonban a biztonságra, ha elég egy rossz kattintás, és máris sérül az adatbiztonság. Az emberi tényezőre kell tehát koncentrálni. Pénzügyi szektor, közigazgatás stb. régóta és szigorúan szabályozott területek, hogy ezeket a problémákat minimalizálják. A GDPR ezt nyitja ki gyakorlatilag minden olyan szervezetre, amely bármilyen szinten kezel személyes adatokat.

A GDPR végrehajtása a kulcs

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke hosszasan vette sorra azt a teendőlistát, melyet a brit adatvédelmi szervezet, az Information Commissioner's Office állított össze arról, hogyan kell felkészülni a GDPR-re. (A listát egy kattintásnyira ismertettük részletesebben.)

Péterfalvi arra hívta fel a figyelmet, hogy a GDPR az uniós polgárok adatainak védelmét írja elő, kezeljék az adatokat bárhol is a világon. A rendelet ezzel reagál is a technológiai fejlődésre és a globalizációra.

De van egy másik szempont is: az EU-ban felhalmozódott személyes adatok értékét ezermilliárd euróra becsülik, azaz itt egy nagyon nagy üzletről is szó van, ami szintén arra sarkallta a döntéshozókat, hogy EU-szinten egységes szabályozás legyen, szemben a korábbi ajánlással, melyet minden tagország a maga módján implementálhatott.

A GDPR a korábbi ajánlással szemben közvetlenül alkalmazandó. Egyik fontos újdonsága, hogy megfordítja a bizonyítás folyamatát: az adatkezelőnek kell bizonyítania, hogy minden szempontból (technológia, folyamatok stb.) megfelel a rendelet előírásainak. Péterfalvi példaként a telefonos lehallgatást hozza. Magyarországon ebben például jelenleg kusza a helyzet, nem egyértelmű például, hogy az érintettnek egy rögzített telefonbeszélgetés leiratát vagy a felvételt kell megkapnia. A GDPR ebben is egyértelműbb helyzetet hoz, mert aszerint az érintettnek ki kell adni magának a hangfelvételnek a másolatát is.

Egyébként Péterfalvi is a fentebb már említett brit adatvédelmi hatóság tizenkét pontjából indult ki a teendő összefoglalásakor. Külön kiemelte az adatvédelmi tisztségviselő fontosságát. Mint mondta, több felsőoktatási intézményben indítottak ilyen szakirányú képzést.

Középpontban az elszámoltathatóság

A Gartner is azt javasolja, hogy mindenekelőtt meg kell határozni az adott szervezet helyzetét a GDPR vonatkozásában. Minden olyan szervezet, amely feldolgoz személyes adatokat, adatkezelőnek minősül, és vonatkozik rá az EU-s rendelet. És ha ez így van, köteles is kinevezni adatvédelmi felelőst. Ebbe a körbe az állami szervek is beletartoznak.

Az adatok csak célhoz kötötten kezelhetők, emiatt a tárol adatok minősége és relevanciája is nagyon fontos. A rendelet egyébként meg is szünteti a hallgatólagos beleegyezést, azaz minden esetben az adatkezelőnek egyértelműen meg kell szereznie az adatgazda beleegyezését, hogy adott adatokat adott célból felhasználhat-e. Az adatokat pedig úgy kell tárolni, hogy ahhoz illetéktelen ne férhessen hozzá, és ezt az adatkezelőnek bizonyítania is kell. A Gartner elemzői ezzel kapcsolatban megjegyzik: nagyon kevés az olyan szervezet, amely már minden olyan folyamatát azonosította, amelyben személyes adatokat is kezel.

Ez utóbbi ugyanakkor nagyon fontos, hiszen azokat, akiknek az adatait a szervezetek tárolják – őket nevezik adatalanyoknak –, a GDPR egy sor jogosítvány ad. A felejtés joga biztosítja, hogy az adatalany bármikor kérheti adatai végleges törlését (ez Péterfalvi szerint fizikai megsemmisítést jelent). Az adatkezelőnek biztosítani kell az adatok hordozhatóságát. Emellett tájékoztatási kötelessége is van: ha az adatokkal kapcsolatosan bármiféle biztonsági incidens (adatlopás, adatszivárgás stb.) történik, arról bizonyos határidőn belül tájékoztatnia kell az adatalanyt.

Péterfalvi szerint annak ellenére, hogy a GDPR rendelkezései minden tagállamban közvetlenül érvényesek, egy sor kérdést továbbra is az adott ország szabályoz a végrehajtás részletein keresztül.

Biztonság

Így kell adatot törölni a GDPR szellemében

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.