Adatvédelmi rendelet: a GDPR elől nincs menekvés
Könnyítések és nehezítések, a költségeket csökkentő és növelő változások egyaránt találhatók az Európai Unió új, általános adatvédelmi rendeletében, amely mindenekelőtt megkönnyíti majd a vállalatoknak a jelenleg meglehetősen összetett és színes adatvédelmi előírások betartását. Minthogy megfelelően felkészült IT-biztonsági szakemberből nagyon kevés van, a vállalkozásoknak érdemes időben elkezdeniük a felkészülést; minél nagyobb a szervezet, annál hamarabb - fogalmazott egy múlt heti háttérbeszélgetésen Zala Mihály, az EY Kibervédelmi Szolgáltatások Kft. igazgatója.
Régi ügyfelek új jogai
Mire kell különösen figyelni? Az Európai Unió regulája előtérbe helyezi a személyes adatok védelmét. Minden ügyfél élhet az adatok hordozhatóságához és a felejtéshez fűződő jogával. Ez azt jelenti, hogy kérhetik szolgáltatójukat, hogy adataikat adja át másik szolgáltatónak, illetve jogosultak a személyes adatok indokolatlan késlekedés nélküli törlését kérni. Új jog még a profilalkotás tiltásának joga - mindezekkel kapcsolatban gondoljunk csak a pontgyűjtő és törzsvásárlói kártyákra!
Biztosítani kell a betekintés jogát, ami digitális adattárolást feltételez. Igen ám, de a betekintés engedélyezése előtt az adatkezelőnek képesnek kell lennie az adatkérő hiteles azonosítására. Kötelező lesz továbbá tájékoztatni a fogyasztót arról, hogy az adatkezeléshez adott hozzájárulását bármikor visszavonhatja. Minden személyes adatot álnéven kell tárolni, hogy az adatbázis kompromittálódása esetén a személyiségi jog ne sérüljön meg. A törvény a munkáltatókra éppúgy érvényes, mint például a bankokra vagy a webáruházakra.
Tekintettel a rendszerint adathalászattal induló támadásokra, a jogalkotó szándéka világos, ugyanakkor részben szembemegy a digitális ügyfélkapcsolat-kezelés mára széleskörűvé vált gyakorlatával. Ahhoz, hogy a felejtés jogát érvényesíteni tudják, a szolgáltatóknak - webboltoknak vagy pizzériáknak is - tudniuk kell, hogy azokat az adatokat hol tárolták. Ugyanakkor gondoskodniuk kell arról, hogy az üzleti tevékenységük gördülékenyebbé tétele érdekében gyűjtött adatok szétválaszthatóak legyenek a garanciális adatoktól vagy azon adatoktól, amelyeket a hatóságok jogosultak bekérni tőlük. Vajon képesek lesznek-e a kisebb vállalkozások is megbirkózni a rendszerek átstrukturálásának műszaki feladatával?
Első lépésként fel kell mérniük, meg kell ismerniük személyesadat-kezelési gyakorlatukat. Tudniuk kell, milyen adatokat kezelnek, azok hol találhatók, honnan hová továbbítják azokat, és hogyan gondoskodnak a biztonságukról. Az EY felmérése szerint adatvédelmi szempontból a vállalatok 63 százaléka kevéssé vagy közepesen érett.
Incidensek, szankciók
Megelőző intézkedéseket is előír a rendelet. Minden olyan társaság köteles adatvédelmi hatástanulmányt készíteni, amely jelentős mennyiségű személyes adatot kezel, illetve amelynél az érintettek adatai veszélyben lehetnek. A nagy mennyiségű személyes adatot kezelő vagy rendszeres monitoring tevékenységet végző szervezetek kötelesek adatvédelmi tisztviselőt (DPO) kijelölni. A társaságok kötelesek az adatvédelmet beépíteni az új üzleti folyamatok és rendszerek tervezésébe.
Gondot okozhat a már nem támogatott operációs rendszerek, a különösen sérülékeny alkalmazások vagy a gyenge titkosítás használata. Zala Mihály tipikus hibának nevezte, hogy a fejlesztők gyakran az alkalmazás éles üzembe állítása után is rendelkeznek a teszt során birtokolt hozzáférési jogosultságokkal.
Véget vetne a rendelet az elhallgatott adatvesztéseknek is. Incidens esetén arról legkésőbb 72 órán belül értesíteni kell az adatvédelmi hatóságot. Amennyiben az incidens nagy kockázatot jelent az érintettekre, őket is értesíteni kell.
Minden tagországban a nemzeti hatóságok - Magyarországon a 2012-ben létrejött Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) - feladata lesz az ellenőrzések lefolytatása. Ugyanakkor a bírság egységes mértékű minden tagállamban. A legsúlyosabb büntetés összege elérheti a társaság teljes árbevételének 4 százalékát, a plafon 20 millió euró.
Megtekintés: 1057