AZ ÚJ GDPR SZABÁLYOZÁS ÁLTALÁNOS ELEMEI, HATÁRIDŐK

 

Hamarosan, 2018. május 25-én életbe lép az új európai adatvédelmi szabályozás (GDPR – General Data Protection Regulation = Általános Adatvédelmi Rendelet. Pontos megnevezése: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

 

Magyarul itt található: http://www.adatvedelmirendelet.hu/wp-content/uploads/2016/07/CELEX3A32016R06793AHU3ATXT.pdf

 

Az új rendelet az összes tagországra kötelező érvényű lesz. Lényege, hogy a személyes adatok védelmének magasabb szintjét határozza meg: a természetes személyeknek, akiknek az adatait kezelik, jogokat ad az adatok felhasználásának célját ellenőrizni, illetve kérhetik az adataik törlését, „elfelejtését” ha az adatkezelést már nem kérik a jövőben.

 

MIÉRT VOLT SZÜKSÉG A GDPR-RA?

 

A rendelet elkészítését az tette szükségessé, hogy 1995-ben készült legutóbb ilyen átfogó adatvédelmi szabályozás (95/46/EK európai parlamenti és tanácsi irányelv), és az informatikai eszközök – különösen az okostelefonok, hordozható számítógépek, tabletek – olyan mértékű kiterjesztését jelentik az internetes hálózatoknak, amelyekre a korábbi szabályozás már nem volt tervezve. Másik szempont a közösségi hálózatokon terjedő személyes információk mennyisége, és ennek veszélyessége. Az internetes bűnözés, a személyes adatokkal történő illegális kereskedelem ijesztő méreteket öltött napjainkban, és volumenében már meghaladja a drogkereskedelmet.

 

AZ ADATKEZELŐK, ADATFELDOLGOZÓK FELELŐSSÉGE

 

Az adatkezelők és adatfeldolgozók számára szigorú követelmények lépnek életbe a személyes adatok biztonságos tárolása, és csak a célnak szükséges mértékű felhasználása tekintetében. Az ISO 27001 informatikai kockázatkezelési szabvány, és a GDPR is előírja a személyes adatok:

  • Bizalmasságát
  • Sértetlenségét, és
  • Rendelkezésre állását.

 

ADATVÉDELMI INCIDENSEK A GDPR VONATKOZÁSÁBAN – BÜNTETÉSI TÉTELEK

 

Illetéktelen adathozzáférés, adatvesztés,  adatszivárgás esetén 72 órán belül jelenteni kell az eseményt a felügyeleti hatóságnak (Jelenleg a NAIH, de erre alakulhat új hatóság is), és tájékoztatni az érintetteket is. Azokat a cégeket, amelyek megsértik a GDPR előírásait, esetenként 20 millió Euró (kb. 6 Milliárd forint!) vagy az árbevételük 4%-ának megfelelő (amelyik nagyobb) bírságra büntethetik.

 

(Összehasonlításképpen: eddig a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) maximum 20 millió forintra büntethette a személyes adatvédelmi jogokat sértő cégeket).

 

A BIZONYÍTÁSI ELJÁRÁS

 

Fontos változás, hogy, amennyiben a GDPR-t sértő incidens történik, az adatkezelő és adatfeldolgozó cégeknek kell bizonyítaniuk, hogy mindent megtettek annak érdekében, hogy ilyen ne forduljon elő, illetve, hogy minimalizálták az esemény során az adatok nyilvánosságra kerülésének lehetőségét (pl. titkosítási algoritmusokkal).

 

GDPR-MEGFELELŐSÉG ELÉRÉSE

 

Mivel eddig a az Infotv. (2011. Évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról) ennél kevésbé szigorú követelményeket tartalmazott, és a büntetési tételek is alacsonyak voltak, elképzelhető, hogy még a nagy informatikai fejlesztői kapacitással, bonyolult informatikai rendszerekkel rendelkező cégek sem tettek eleget teljes mértékben az eddigi rendelkezéseknek. Emiatt a GDPR rájuk nézve mindenképpen egy jelentős feladatot hárít: 2018. május 25-ig el kell érni a GDPR-megfelelőséget.

 

GDPR AUDIT – A GDPR ÉRETTSÉG MÉRÉSE

 

Cégünk informatikai biztonsággal foglalkozó részlege tud segíteni azoknak a cégeknek, akik szeretnének megbizonyosodni arról, hogy megfelelnek-e ennek a jövőbeni szabályozásnak, és ha nem felelnek meg, akkor milyen intézkedésekkel, fejlesztésekkel tudják elérni a megfelelőséget.

 

 

A GDPR AUDIT FONTOSABB LÉPÉSEI

 

A GDPR- audit során felmérjük a cégek azon üzleti folyamatait, ahol személyes adatkezelés zajlik, azonosítjuk a rendszerek közötti adatátadásokat, és az ügyféllel közösen meghatározzuk az egyes alkalmazások számára minimálisan szükséges személyes adatok körét. Ugyancsak ellenőrizzük a mentési- visszaállítási folyamatokban a személyes adatok kezelésének hatókörét. Külön vizsgálatot igényel az archiválási folyamat: itt is vizsgálat tárgya, hogy a számviteli- és iparági archiválási előírások betartásához mennyiben szükséges a személyes adatok archiválása, illetve a későbbi statisztikai adatszolgáltatásokhoz elegendő-e anonimizált (fel nem ismerhető), vagy „álnevesített”  személyes adatok használata?

 

ÚJ KÖVETELMÉNYEK A VÁLLALATI RENDSZEREKRE

 

Mivel a GDPR nemcsak az illetéktelen hozzáférés, hanem az adatok elvesztése, megváltoztatása esetében is büntetést helyez kilátásba, ezért a mentési-visszaállítási-archiválási rendszerekre, de az ERP vagy CRM rendszerekre vonatkozóan is meg kell vizsgálni, ezek megfelelnek-e GDPR követelményeinek.

 

Természetesen nemcsak az egyes rendszerek, hanem az ezeket összekötő interfészek, hálózati kapcsolatok is meg kell feleljenek az előírásoknak, de tovább megyek: az adatok fizikai tárolása, kezelése (ami lehet papíralapú is) is meg kell feleljen a GDPR követelményeknek.

Ezért tulajdonképpen egy teljes IT auditot kell végezni, leszűkítve a személyes adatkezeléssel kapcsolatos GDPR követelményekre.

 

 

A SZOFTVERGYÁRTÓK FELELŐSSÉGE

 

Amennyiben a gyártó erre vonatkozóan új verziót bocsát rendelkezésre, akkor ennek az új verziónak a használatba vételéhez is el kell végezni a megfelelő változáskezelési eljárásokat, és a GDPR életbe lépése előtt éles használatba állítani az új verziókat.

 

GYÁRTÓI KÖZREMŰKÖDÉS NÉLKÜL

 

Amennyiben a gyártók nem bocsátanának ki ilyen javításokat (vagy már nincs idő/erőforrás ezek biztonságos alkalmazására, bevezetésére) akkor a cégeknek kell olyan adatkezelési fejlesztéseket, szabályozásokat kidolgozni, amivel a meglévő rendszereik megfelelősége (compliance) biztosított lesz.

 

PRIVACY BY DESIGN

 

A jövőben megvalósítandó fejlesztések, rendszerbevezetések esetén alapvető követelmény lesz, hogy már a tervezés (Design) időszakában figyelembe vegyék a GDPR követelményeit, így a rendszer élesbe állításakor teljesülni fognak a feltételek. Ez az alapelv érvényes a változáskezelési folyamatokra is.

 

ARCHITEKTÚRÁLIS ÁTALAKÍTÁSOK – A GDPR MEGFELELŐSÉG ÉRDEKÉBEN

 

Mindenképpen érdemes a GDPR- audit során olyan architekturális változtatásokat kidolgozni, amely a jövőben lehetővé teszi a személyes adatok kezelésének magasabb szintű kontrollját, és a változáskezelési eljárások hatékonyságát is növeli.