GDPR: last minute

2018. május 24. csütörtök - 13:30 / piacesprofit.hu
  •    

Egy nap az élet: holnap már élesben alkalmazni kell az uniós adatvédelmi rendelet, a GDPR szabályait. Sok vállalkozásnál merült fel a kérdés az elmúlt hónapokban, hogy miért ne használhatná azokat a rendszereit a megfelelésre, amelyek már most is rendelkezésre állnak. Vida Sándor adatvédelmi szakértő segítségével most nekik adunk néhány hasznos tanácsot.

Mostanra tényleg nincs olyan napunk, amikor ne jönne szembe a reggeli hírfolyamban legalább egy felhívás, határidő emlékeztető vagy újabb magyarázat az adatvédelmi rendelet május végi hatályba lépéséről. Miközben a GDPR a tavasz sztártémájává vált, tanácsadóként újra és újra megéljük, hogy az információzuhatagból a legtöbb vállalkozás nehezen tudja segítség nélkül kibányászni a rá vonatkozó tennivalókat. Általában a legkézenfekvőbb kérdéseket kapjuk: Most akkor honnan kezdjük ezt az egészet? Tudunk valamire építkezni? Tudjuk használni a meglévő szabályozásainkat, vagy teljesen új kell? – És máris fején találtuk a szeget! Mert az esetek zömében már működik olyan rendszer, amin az építkezés elkezdhető, vagy még jobb esetben folytatható.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Május 25 a határidő! - kép: Pixabay

Május 25 a határidő! – kép: Pixabay

Erőforrások ’Lasztminitben’

Minden vállalkozás dolgozik valamilyen szintű adatokkal. Ahol olyan információkkal dolgoznak, amelyekre fokozottabban kell ügyelni, biztosan alkottak már az elmúlt években információbiztonsági előírásokat. Egy működő információbiztonsági irányítási rendszer (IBIR) keretében eleve rendszeresen ellenőrzik, hogy hol, hogyan tárolnak adatokat, milyen intézkedések születtek a védelmében. A kapcsolódó szabvány (ISO 27001) nem ad konkrét iránymutatást, de azt előírja, hogy megfelelő intézkedéseket kell hoznunk annak érdekében, hogy ne sérüljenek a nálunk tárolt adatok. Ne következhessen be az állományok –  beleértve a személyes adatokat – véletlen vagy jogellenes megsemmisülése.

Egy jól felépített Információbiztonsági Szabályzat (IBSZ) tartalmazza azokat az intézkedéseket, amelyeket az adatsérülések, adatvesztések elkerülése érdekében hoztunk. Továbbá ismerteti az ellenőrzés rendszerét, módszereit. A GDPR-ban központi témaként szereplő adatvédelmi incidens mumusát elsősorban az információbiztonsági szabályozásainkkal tudjuk kivédeni.

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.

Ezen kívül nagy valószínűséggel dolgozunk más olyan IBIR-elemekkel is, amelyek a szervezeten belüli értékelemeinket adják, mint például a vagyonleltár – amely jó közelítéssel tekinthető adatkezelési nyilvántartásnak is. Ez utóbbi ugyan csak bizonyos feltételek mellett kötelező eleme a GDPR megfelelésnek, azonban az elszámoltathatóság alapelvének kulcsontosságú része.

Tehát ha már van egy IBIR-ünk, magasabb fokú adattudatossággal működünk és eleve jópár lépést tettünk a magasabb fokú GDPR megfelelés irányába.

Mi van még a szertárban?

Milyen meglévő eszközünk segítheti még a GDPR intézkedéseinket? Ilyen lehet például egy jogosultsági mátrix, azaz egy jól átgondolt nyilvántartás arról, hogy a szervezeten belül (és akár kívül), kinek, milyen adatokhoz van hozzáférési jogosultsága – tágabb értelemben még a papír alapon kezelt adatok tárolására szolgáló irattároló kulcsát is beleértve. Szintén hasznos lesz az építkezésben, ha rendelkezünk naprakész kockázatértékeléssel és vannak dokumentált kockázatkezelési intézkedéseink.

Még nagyobb a GDPR-eszköztár, ha magasabb szintű belső nyilvántartásokkal is dolgozunk. Ha például van jól működő jogosultság kezelés. Vagy ami szintén jó bázist ad: olyan IT rendszer, amiben személyes adatokat kezelnek. Ilyenek lehetnek a működtetett CRM, iktatórendszerek, bérszámfejtéshez HR-hez használt nyilvántartási rendszerek, és azok GDPR megfelelő paraméterezése, így például a bennük előre rögzített megőrzési idő.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Sok helyen rendelkeznek üzletmenet folytonossági tervvel is, és azt tapasztaljuk, hogy most már egyre több cég gondoskodik előre a működéséről olyan formában is, hogy helyreállítási tervet készítenek  katasztrófa esetére, hiszen a kezelt adatok nem csak illetéktelen kezekbe kerülhetnek, hanem elérhetetlenné válhatnak, rosszabb esetben megsemmisülhetnek.

Sose csak vízzel főzünk

Az előbbi szabályozások, dokumentumok, intézkedések közül jónéhányat megtalálunk a vállalkozások alap eszköztárában. A ’saját jól felfogott érdek’ nem elhanyagolható szempont és egy tudatosan tervező vállalkozás eleve beépíti a működésébe a biztonsági elemeket. Így szinte sosem indulunk nulláról. Ez az első, a „Miből élünk? – kör”, amikor a szükséges lépésekhez felmérjük a meglévő elemeket és azt látjuk, hogy a kőleves történetéhez hasonlóan azért mindig vannak nyersanyagok a kamrában. Érdemes tehát ezt a vizsgálatot a vállalkozás teljes működésére nézve megtenni, hogy a felkészülés során minél több használható eszközünket tudjuk a GDPR szolgálatába állítani.

Fontos hangsúlyozni, hogy a GDPR adatminimum elve sajnos a szabályozásra nem érvényes, legfeljebb közvetve, hiszen ha valóban törekszünk a minél kevesebb személyes adat kezelésére, akkor annál kevesebbnek a jogosságát kell igazolnunk. De igazolnunk kell – az adatkezelő felelőssége bizonyítani az adatkezelési folyamatainak megfelelőségét.

Szerző:

Vida Sándor, tanácsadó

p2m Consulting Kft.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól
A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.

Feliratkozom a(z) Info & tech téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor