Menü
38_Ward_Solutions.jpg
Forrás: ITB

Ha egy cégvezető még nem tudná, mit takar a GDPR betűszó, a következő egy év során biztosan megtanulja. Az EU új adatvédelmi jogszabályai nem egészen kilenc hónap múlva életbe lépnek – már csak ennyi idő van a felkészülésre.

Csak négy betű, de komoly változásokat hoz, és hosszabb távon talán azt is megváltoztatja, ahogy a magánszemélyek és a vállalkozások a tárolt adatok kezeléséhez, biztonságához állnak. A General Data Protection Regulation (GDPR), vagyis az általános adatvédelmi rendelet a korábbi, nemzetállami szinten szabályozott adatvédelemben hoz új minőséget.

 

Jogok és kötelezettségek

No de miben is áll ez az új minőség? Kiterjeszti a joghatóságot, új jogokat ad mindazoknak, akiknek az adatait kezelik, ezzel pedig új kötelezettségeket ró az adatgazdákra. Ja, és el ne felejtsük: a rendelet megszegőire elrettentő büntetéseket ró ki!

A GDPR kiterjed minden olyan adatkezelőre és adatfeldolgozóra, amely az Európai Unióban működik, illetve a tagállamok polgárainak személyes adatait kezeli. A személyes adatok körébe beletartozik minden olyan információ vagy információtöredék (legyen az például biometrikus azonosító), amely alapján egy természetes személy egyértelműen beazonosítható. Az érintett szervezetek kötelesek az adatvédelmet az új üzleti folyamatok és rendszerek tervezésébe beépíteni, az adatfeldolgozási szabályoknak, eljárásoknak és tevékenységeknek pedig dokumentáltnak és ellenőrizhetőnek kell lenniük. A nagy mennyiségű személyes adatot kezelő szervezetek kötelesek adatvédelmi felelőst kijelölni, az adatbiztonságot érintő incidensekről pedig 72 órán belül értesíteni kell a hatóságokat.

Az új jogok között van a felejtéshez való jog: az érintett bizonyos esetekben kérheti a személyes adatok törlését. Hordozhatóvá is kell tenni az adatokat, vagyis az érintett kérheti a szolgáltatót, hogy a róla tárolt adatokat adják át egy másik szolgáltatónak. A szervezetek arról is kötelesek tájékoztatni a fogyasztót, hogy az adatkezeléshez adott hozzájárulást bármikor visszavonhatja, a személyes adatok vagy határon átnyúló adatküldés esetében pedig explicit hozzájárulás szükséges.

Mindezeknek a szabályoknak már a rendelet érvénybe lépésének napján, vagyis 2018. május 25-én meg kell felelnie a szervezeteknek. Az előírások be nem tartása miatt kiszabható bírság felső határa a társaság teljes (globális) árbevételének 4 százaléka, de legfeljebb 20 millió euró.

Kell a szigor

Az európai döntéshozók nem azért hozták meg az új adatvédelmi szabályokat, mert költségekbe akarták verni a vállalkozásokat. Az információbiztonsági kockázatok emelkedése mindenképpen szükségszerűvé tette a szigorúbb előírások bevezetését. Csak 2016 folyamán több mint kétmilliárd adatrekord jutott illetéktelen kezekbe, állapította meg a ZDNet; a Gemalto szerint pedig 2016 első felében közel ezer adatszivárgási esetben 554 millió adatrekordra tették rá a kezüket a bűnözők. Mind a nyilvánosságra került esetek száma, mind az egyes incidensek súlyossága (az érintett rekordok mennyisége) folyamatosan nő. Az IDC jóslata szerint 2020-ra az adatvesztések a Föld népességének egynegyedét fogják érinteni.

 

Egyszerűen is lehet

Egy cég csak akkor tud kibújni a GDPR hatálya és kötelezettségei alól, ha egyáltalán nem kezel személyes adatot, és ezt bizonyítani is tudja. Ez azonban gyakorlatilag soha nem áll fenn, hiszen a munkavállalók, a partnerek, az ügyfelek adatai szinte mindig ott vannak valahol a cég rendszereiben.

Ha tehát valaki még nem tette volna meg eddig, annak most már mindenképpen el kell kezdenie a felkészülést. De mielőtt bármilyen informatikai fejlesztésbe kezdene a cég, először választ kell adni néhány egyszerű(nek tűnő) kérdésre. Milyen adatokat tárolnak? Hol tárolják az adatokat? Ki fér hozzá az adatokhoz? Megfelel-e a védelem szintje a GDPR-nak? Ha ezekre a kérdésekre választ tudnak adni, akkor lehet továbblépni a megfelelés tényleges megszervezéséhez.

A GDPR nem a vállalkozások ellehetetlenítését tűzte ki célul, ezért nem is követel teljesíthetetlen feltételeket. Lényeges eleme a szabályozásnak, hogy a kockázattal arányos védekezést kell megvalósítani – ha tehát egy kisvállalatnál csak kis mennyiségű adatot kezelnek, ott viszonylag egyszerű eszközökkel és módszerekkel is lehet védekezni.

Szakértők szerint az egyik, viszonylag egyszerűen járható út, hogy az adatkezelés nagy részét kihelyezik egy felhőszolgáltatónak. A személyes adatokat is érintő informatikai háttértevékenységek nagy részét – mint mondjuk a HR és a bérszámfejtés vagy az ügyfélkapcsolat-kezelés – már felhőszolgáltatások igénybe vételével is meg lehet oldani. Ebben az esetben a felhőszolgáltató lesz felelős az előírások betartásáért; az adminisztratív feladatok alól azonban ilyenkor sem bújhat ki a cég.

Két technológia jelenthet még sok esetben egyszerű megoldást. Az egyik az álnevesítés, amikor a személyes adatot egyedi azonosítóval helyettesítik. Az adatok így továbbra is elemezhetők maradnak, csak éppen nem köthetők természetes személyhez. A másik az erős titkosítás. Ha az adatokat olyan szintű titkosítással látják el, hogy azokat illetéktelenek nem tudják felhasználni, akkor egy esetleges adatvesztés esetén sem kell komoly bírságra számítani.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 1977 személy szerepel adatbázisunkban.

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4700 cég szerepel adatbázisunkban.
Az utolsó regisztrált:Clarmont I.S. Kft.

A legkeresettebb cégek: