Az Európai Unió új adatvédelmi rendeletében (EU GDPR) megfogalmazott követelményeknek még sok vállalkozás nem felel meg – hívta fel a figyelmet a a Blancco Technology Group. A cég friss kutatási eredményei arra mutatnak rá, hogy az érintett vállalkozásoknál hiányoznak a „felejtés jogának” (right to be forgotten) biztosításához szükséges eljárások, az adattörlési tevékenység nincs dokumentálva, és nem áll rendelkezésre a szükséges technológia sem. A kutatás a szervezetek 41 százaléka esetében tárt fel hiányosságokat.
„Mivel az EU GDPR megvitatása már 4 éve zajlik az unió különböző testületeiben, sokan arra számítottak, hogy a rendelet hatályba lépése kitolódik vagy soha nem fog bekövetkezni. De a tervezet most valósággá válik, és amint az Európai Tanács ratifikálja az új szabályozást, minden nemzetközi és magyar vállalkozásnak szembe kell néznie azzal, hogyan tud majd megfelelni a követelményeinek” – emeli ki a felmérés eredményei kapcsán Ormós Zoltán szakjogász.
Itthon még rosszabb a helyzet
„A magyar adatok a tapasztalataink szerint ennél sokkal rosszabbak. Itthon csupán a vállalatok néhány százaléka van tisztában azzal, hogy megfelelő és minősített módszereket kell bevezetnie a különböző adatok törlésére és az adathordozók leselejtezésére, emellett az adatok törlését folyamatosan dokumentálnia kell” – mondja Petrányi-Széll András, a Blancco magyarországi kommunikációs vezetője.
A dokumentálás hiánya vagy az ügyféladatok olyan elavult módszerekkel történő megsemmisítése, mint egy merevlemez átfúrása, növeli az esélyét annak, hogy a vállalkozás vagy szervezet nem felel meg a GDPR követelményeinek. A felkészülést azonban el kell kezdeni, mert a moratórium 2018-ban lejár, onnantól pedig akár 20 millió eurós bírságot is kiszabhatnak a hatóságok.
A felkészülés időigényét a Blancco felmérésében részt vett IT menedzserek 60 százaléka legalább egyévnyire becsüli, 25 százalékuk pedig megbecsülni sem tudta, hogy mennyi idő alatt tudja kialakítani a szükséges folyamatokat és beszerezni a megfelelő technológiát. A követelmények teljesítéséhez szükséges kellékek listáját 48 százalékkal a minősített adattörlési megoldások (szoftveres és hardveres eszközök) vezetik, ezt a titkosítás (26%), majd a vírusvédelem (10%) követi.
A rendelet szerint személyes adat minden olyan adat, amely egy személy privát, szakmai vagy közösségi életére vonatkozik. Így személyes adat a név, egy fotó, e-mail cím, bankszámlaszám, postai cím, egy közösségi profil linkje, egy orvosi információ, de még a számítógép IP címe is.
Az adatvédelmi felelős feladata, hogy rendszeresen és szisztematikusan monitorozza a rendelet hatálya alá eső adatok kezelését, gondoskodjon a szabályozás betartásáról, és olyan munkafolyamatokat dolgozzon ki, melyek nem sértik az adatvédelmi irányelveket.
Minden adatvédelmi incidenst kötelező lesz a megfelelő hatóságok felé jelenteni, beleértve a hackertámadásokat, de az olyan egyszerű eseteket is, amikor a volt marketinges magával viszi a cég hírlevél-adatbázisát vagy elveszett egy ügyféladatokat tartalmazó céges laptop.
A kiszabható büntetés maximuma 20 millió euró vagy a világszintű éves forgalom 4 százaléka közül a nagyobbik összeg. Így ha például egy magánklinika úgy selejtezi le a számítógépeit, hogy azokról nem törli a betegadatokat, vagy egy középvállalat úgy ad le javításra egy okostelefont, hogy arról a telefont használó munkatárs családi fotói kikerülnek, akkor rendkívül jelentős büntetésre számíthat.
Az új adatvédelmi rendelet végül előírja, hogy minden személynek joga van ahhoz, hogy egy rendszerből adatait átvigye egy másik elektronikus rendszerbe, és ebben az adatok kezelője nem akadályozhatja meg. Az adatok kezelőjének ráadásul általánosan használt elektronikus formában, strukturáltan kell átadnia az adatokat, hogy azok a következő adatkezelő által könnyen hasznosíthatóak legyenek. Ilyen lehet például egy biztosítási adat: ha valaki 10 éven keresztül baleset nélkül vezette gépjárművét, akkor a biztosítónak át kell adnia az új biztosító számára az adatokat annak érdekében, hogy a sofőr az új társaságnál is megkaphassa a bónuszokat.
