Már többször is körbejártuk, mit takar a GDPR (General Data Protection Regulation – az Európai Unió általános adatvédelmi rendelete), mitől vált aktuálissá, és miért jön szembe minden hírfolyamban. Jó ha tudjuk: ha a vállalkozásunkban személyes adatot kezelünk – és munkáltatóként a munkavállalóink adatai is idetartoznak –, online tevékenységet folytatunk, bármilyen szintű adatbázisokkal dolgozunk, az ügyfeleink adatait használva akármilyen online tranzakciót, akciót, kampányt végzünk, biztosra vehetjük, hogy a rendelet minket is érint. A p2m összegyűjtötte, hogy milyen lépéseket kell megtennünk a 2018. május 25-i határidőig!

Ketyeg az időzítő – Ott vagyunk már?

2018. május 25. a dátum, a visszaszámlálás pedig elkezdődött. Az Európai Unió vállalkozásai jelentős lemaradásban vannak a felzárkózást tekintve. Egyelőre Magyarországon sem állunk jobban. A felismerés ugyan sokakban megtörtént, mégis jóval kevesebben kezdték meg a felkészülést, mint amennyi szervezetet ténylegesen érint. A hazai vállalkozások vezetőivel beszélgetve leggyakrabban háromféle hozzáállással találkozunk.

Sokan egyáltalán nem foglalkoztak a témával. Elkerülték, mert a 2018-as dátumot még nem érezték sürgetőnek a napi megoldandók mellett, vagy mert úgy gondolták, ez csak a nagyokra vonatkozik, vagy egyszerűen csak nem szólították meg őket a hírek, így a felkészülés szükségességét ők még nem realizálták. Egyre többen vannak, akik már felébredtek, és rájöttek, hogy ezzel bizony dolgozni kell. Ők most kezdik összegyűjteni az információkat az induláshoz. Szerencsére napról napra növekszik azok száma is, akik tisztában vannak vele, hogy az adatvédelem nem csupán jogi, hanem üzleti kérdés is, és ennek tudatában vágtak bele a felkészülésbe.

Melyik végénél fogjuk meg?

„Az adatbiztonság nyűgös dolog” – nemrég ezzel a mondattal találkoztunk egy rendezvényen. Valóban összetett a téma, és sokan elakadnak a legelső ponton, hogy melyik végénél is kellene nekiállni. Így fordul elő igen gyakran, hogy az informatikusra, rendszergazdára zúdul a probléma: „A te területed, nézd meg, mit kell csinálni!” A feladat azonban a vállalkozás több területét is érinti, és bár az informatikának kulcsszerepe van a projektben, teljes körű együttműködés szükséges az érintett vezetők, munkatársak részéről. A HR munkaügyi adatokat kezel; a marketing, az értékesítés és a vevőszolgálat ügyféladatokat; a logisztika és a beszerzés a beszállítók adatait – ezek pedig egyben a vállalkozásunk adatbázisai, a GDPR tehát csapatmunkát igényel.

Fontos, hogy ne maradjon hézag, és minden oldalról rálássunk a működésünkre, ezért érdemes megfelelő szakértők bevonásával elkészíteni a jelenlegi adatbiztonsági helyzetképünket, és meghatározni a következő időszak feladatait.

Először is tisztázni kell, hogy a működésünk indokolja-e adatvédelmi tisztviselő kijelölését. Az alábbi esetekben mindenképpen szükséges:

• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban;
• ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Ha összeállt a csapatunk, megkezdődhet az adatbiztonsági felkészülés. Jó hír, hogy az első igazi nagy falattal máris hatalmas lépést teszünk.

Az adatkezelésünk felmérése lesz ugyanis minden további teendőnk alapja.

Panorámaképre felkészülni!

Itt kerül sor az üzleti folyamatok és adatok elemzésére, felderítésére; az adatkezelő rendszerek adattérképének elkészítésére; az adatok mozgásának meghatározására; az adatokon végzett műveletek (pl. gyűjtés, tárolás, törlés, profilozás) feltérképezésére. A felmérés során elemeznünk kell, hogy megfelelőek-e a jelenleg alkalmazott megoldások az adatfeldolgozás célját és mértékét, az összegyűjtött adatok mennyiségét, az adattárolás időszakát, valamint az adatokhoz való hozzáférést (alapértelmezett adatvédelem) illetően.

A folyamatok, input-output adatok és a hozzájuk használt eszközök (szoftverek, vagyonleltárak, automatizált eszközök) átvizsgálása valóban időigényes feladat. Itt máris előnnyel indul, aki eleve működtetett irányítási rendszert. A kezelt személyes adatok jogalapjait immár az új jogalapok tükrében kell felülvizsgálnunk. Adatbiztonsági intézkedéseink igazolásához szükségünk lesz megfelelő dokumentációra. Itt kell elkészítenünk vagy aktualizálnunk a már használatban lévő adatkezelési nyilvántartást, adatvédelmi-adatkezelési szabályzatot, az adatkezelési tájékoztatókat, adatvédelmi hozzájárulásokat.

Biztonság sakklépésekben

A felkészülés akkor lesz teljes értékű, ha őszintén szembenézünk a vállalkozásunk működésében felmerülő hiányosságokkal. Végig kell gondolnunk a válaszainkat olyan fontos kérdésekre, mint hogy megfelelő képességekkel rendelkezik-e a vállalat az adatvédelmi incidensek bekövetkezésének észleléséhez? Tisztában vagyunk-e azzal, ha adatszivárgás történik? Kialakítottuk-e azokat a folyamatokat és eljárásokat, amelyek segítségével gyorsan tudunk reagálni az adatvédelmi incidensekre?

Ilyen esetben ugyanis jól átgondolt lépések sorát kell megtennünk, amelyek több különböző területen dolgozó ember közreműködését igénylik. Az incidens bejelentése csupán egy a legfontosabb lépések közül. Nagyban lerövidítheti a reakcióidőt egy tényleges adatvédelmi incidens bekövetkezésekor, ha a válaszlépéseket jó előre meghatározzuk, és teszteljük. Mindehhez belső szabályozókat kell létrehoznunk, rögzíteni a felelősségi és hatásköröket, feltérképezni a várható esetköröket (pl. egy adathordozó elvesztése), kialakítani az értesítési rendet, előkészíteni a szükséges dokumentációt, megtervezni az azonnali és a további intézkedések végrehajtását. A lépéseket csak akkor leszünk képesek éles helyzetben, tényleges incidens bekövetkezésekor végrehajtani, ha a terveket teszteljük is! Gondoljunk arra, hogy van-e merszünk egy poroltót leemelni a falról, esetleg még a csapszeget is kihúzni?

Az új szabályok értelmében, bizonyos esetekben az adatkezelőnek adatvédelmi hatásvizsgálatot kell lefolytatni. A kötelezettséggel ilyenkor értelemszerűen növekednek az adminisztratív terhek, azonban a magas kockázatú adatkezeléseknél különösen indokolt lehet annak a vizsgálata, hogy a tervezett adatkezelési műveletek hogyan érintik a személyes adatok védelmét.

Adatbiztonság, mint a jó alvás kulcsa

A GDPR tehát az adatkezelő felelősségévé teszi, hogy bármikor képes legyen bizonyítani a rendelet adatvédelmi elveinek való megfelelést. Ehhez rendszeresen kell ellenőrizni, értékelni és felülvizsgálni az adatkezelési eljárásainkat. A folyamatokba megfelelő biztosítékokat kell beépítenünk, és gondoskodnunk kell a munkavállalók képzéséről, hogy tisztában legyenek a rájuk vonatkozó szabályokkal, feladatokkal.

Összességében képesnek kell lennünk arra, hogy az adatvédelmi hatóság felé bármikor igazolni tudjuk, hogy megtettük a szükséges lépéseket. Mindez egyfelől szabályozási presszió, másrészt viszont olyan megelőző intézkedések sorozata, amelyekkel olyan kellemetlenségektől is megvédhetjük a vállalkozásunkat, mint egy adatkezelési ügyfélpanasz, munkaügyi per vagy kiszivárgó adatok miatti incidens. Ezzel együtt pedig mi is akkor alszunk jól, ha a saját adatainkat is biztonságban tudjuk.

A számláló tehát sürget, de még éppen időben vagyunk. Ha megértjük a szabályozást, és a hátralévő fél év során jól ütemezzük a feladatainkat, felesleges izgalmak nélkül várhatjuk a határidőt.

Szerző:

A p2m Informatika Kft. szakértői csapata