Security

kibervedelem_adatbiztonsag
Forrás: FibreFly

Ideje felkészülni a GDPR-ra

Alig több mint egy év múlva hatályba lép az Európai Unió új adatvédelmi rendelete, a General Data Protection Regulation (GDPR). Ez nem is olyan hosszú idő, ha figyelembe vesszük, hogy a nagyobb szervezeteknek fél évig is eltarthat a felkészülés.

Egységesedik, de ezzel együtt jelentősen szigorodik is az unióban az adatvédelem. A tavaly elfogadott és jövő tavasszal (tagállami parlamenti jóváhagyás nélkül) életbe lépő GDPR a szaporodó adatlopások megelőzése, illetve a károk minél nagyobb arányú mérséklése céljából számos új szabállyal védi a felhasználói adatokat. Ebből következően viszont hatálya kiterjed szinte minden vállalkozásra – például a legkisebb webáruházra is, ha az tárolja és kezeli ügyfelei adatait.

Éppen ezért rendkívül fontos, hogy a vállalkozások minél előbb megismerkedjenek a GDPR előírásaival, majd felkészüljenek azok betartására. Magyarországon viszont egyelőre még nem történt meg a nagy felébredés, a cégek még nem foglalkoznak tömegesen a kérdéssel – mondta Zala Mihály, az EY kibervédelmi szolgáltatások igazgatója. A határidő közeledtével ez minden bizonnyal változni fog, de jövő februárban már késő lesz elkezdeni a felkészülést.

A rendelkezés számos változást hoz a vállalkozások adatkezelésébe – ezek többnyire azzal függnek össze, hogy a felhasználók a korábbiaknál sokkal nagyobb kontrollt kapnak saját személyes adataik fölött. Az információvédelmi eljárások általános szigorításán túl ide tartozik például a betekintés joga: minden adatkezelőnek meg kell tudnia mutatni az adott személynek (lehetőleg géppel olvasható formában), hogy milyen adatokat tárol róla. Eközben természetesen biztosítani kell, hogy az illető csak a saját adatait láthassa. Szintén biztosítani kell a „felejtés jogát”: mindenki kérheti, hogy a róla tárolt adatokat a cég törölje (sőt, erre a lehetőségre fel is kell hívni a figyelmet). „Ez komoly követelményeket támaszt az informatikával szemben: minden adatról tudni kell, hogy milyen alkalmazásokban és milyen fizikai tárolókon őrzik, majd kérés esetén minden helyről ki is kell tudni törölni ezeket. Nagyon valószínű, hogy számos szervezetnél teljesen át kell strukturálni az informatikai rendszereket” – figyelmeztetett Zala Mihály.

A rendelet megalkotói arra is odafigyeltek, hogy mindez ne csak írott malaszt legyen. A GDPR előírásainak be nem tartása igen komoly bírásokat vonhat maga után: kirívó esetben az éves árbevétel 4 százalékát (de maximum 20 millió eurót) is kitehet a bírság. A betartás ellenőrzése tagállami hatáskörben marad, Magyarországon a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) ellenőriz és vizsgálja ki a kötelezően bejelentendő incidenseket. A hatóságnak nem a minél nagyobb bírságok kiszabása lesz a célja, jósolta Zala Mihály: ha a normál ellenőrzések során talál hiányosságokat, és látja a szándékot azok kijavítására, feltehetően nem fog majd vastagon a ceruzája. Ám ha egy esetleges incidens kivizsgálása során derülnek ki súlyos és szándékos mulasztások, és ezek miatt kompromittálódnak személyes adatok, nem lesz pardon.

Zala Mihály szerint a közepesnél nagyobb vállalatok szinte biztosan kénytelenek lesznek külső segítséget is igénybe venni a GDPR-ra való felkészülés során. A felkészültségi értékelés, a hiányosságok feltárása majd megszüntetése feltehetően nem kevés pénzébe kerül majd a vállalkozásoknak – de még mindig kevesebbe, mint amennyit egy incidens után büntetésként kellene fizetni.