Különösen védendő adatok: repkednek majd a 10 millió eurós bírságok? – GDPR 1. rész
A cikk olvasási ideje 6 perc

A május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen védendő kategóriába helyezi a természetes személyekhez kapcsolódó személyes adatokat, így akár rendkívül súlyos büntetést is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azoknak a cégeknek, amelyek nem teremtik meg a megfelelő szintű biztonsági hátteret. Személyes adatnak számít a név, a születési adatok, a lakcím, a telefonszám és az e-mail cím. (Utóbbi kapcsán ugyanakkor konkrét személyhez nem köthető cím – pl. „info” kezdetű – nem minősül személyes adatnak.)
„Az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez”
A rendelet egységes keretet kíván biztosítani az európai szintű adatvédelem számára, de azért sok ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. A nemzetközi cégeknek tehát továbbra is figyelniük kell majd a helyi sajátosságokra, és ennek megfelelően az egyes tagállamokban működő operációkra eltérő terhet ró majd a GDPR bevezetése.
Meghatározó a jelenlegi tevékenység
Az, hogy a felkészüléshez milyen intézkedéseket kell foganatosítani, milyen beruházások kellenek hozzá, természetesen nagymértékben függ attól is, hogy egy adott szervezet jelenleg milyen compliance jellegű tevékenységet folytat. Kétségtelen, hogy a szigorú biztonsági előírásokkal működő cégeknek könnyebb dolguk lesz, hiszen – ellentétben más vállalatokkal – már nagyobb valószínűséggel tudják a válaszokat a következő kérdésekre:
- Milyen adatokat dolgozunk fel, illetve kezelünk?
- Hol tárolódnak az információk (fájlszinten, helyi adatbázisokban, felhőben stb.)?
- Ki férhet hozzá az adatokhoz (szervezeten belül és azon kívül)?
- Mi az adatkezelés célja?
- Milyen hozzájárulások állnak rendelkezésre a természetes személyektől az adatkezelés vonatkozásában?
- Milyen szintű adatszivárgás-megelőzés működik?
Ezek olyan alapvető kérdések, amelyek megválaszolása nélkül a GDPR előírásait kielégítő adatkezelés megvalósításához sem lehet hozzáfogni. Már csak azért sem, mert az EU rendelete előírja a kockázatértékelést és a feltárt kockázatok csökkentésére történő intézkedések meghozatalát.
Töltse ki tesztünket, hogy kiderüljön, az Ön cége mennyire felkészült!
Nagy-Britannia adatvédelemért felelős szervezete, az Information Commissioner’s Office (ICO), Nagy-Britannia adatvédelemért felelős szervezete összeállított egy javaslatcsomagot, amellyel a GDPR-re történő felkészülés legfontosabb teendőit foglalta össze. Ez jó kiindulási pont lehet akár a hazai szervezeteknek is.
A felkészülés 12 pontja
- Tudatosság.Mivel a GDPR erőfeszítéseket követel meg a szervezetek számos szintjén, ezért szükség van a felső vezetés elkötelezettségére, és nem utolsósorban a tudatosságára az adatvédelmet illetően. A döntéshozóknak tisztában kell lenniük azzal, hogy milyen elvárásokat támaszt a rendelet, és az milyen terheket ró a cégükre.
- Információtárolás.Dokumentálni kell, hogy a személyes adatokat az adott cég hol tárolja, honnan származnak, ki férhet azokhoz hozzá, és az adatokat kikkel osztja meg. Ezt a fajta felmérést az adott vállalat minden szintjén, minden részlegén el kell végezi.
- Kommunikáció.A jó esetben jelenleg is meglévő adatvédelmi szabályzatokat felül kell vizsgálni, és minél előbb átalakítani a GDPR kívánalmainak megfelelően.
- Felhasználói jogok.Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani. Ilyen például a törléshez (elfeledtetéshez) való jog, amit az üzleti folyamatok és a technológia szintjén is kezelni kell. A magyar piacon is kaphatók olyan megoldások, melyek széles körben, akár felhős környezetben is használhatók a törvény szellemét követő adattörlésre.
- Bejelentések, panaszok kezelése.Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.
- Adatfeldolgozás.Azonosítani kell az adatfeldolgozó folyamatokat, és megtenni azokat a szükséges változtatásokat, amik biztosítják a GDPR-megfelelőséget.
- Hozzájárulások rögzítése.A GDPR világosan kimondja, hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Vagyis olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Ez – és persze több más pont is – komoly adminisztrációs terhet ró a vállalatokra, ami új piacot is jelent az adatbiztonsági megoldásokat fejlesztő cégeknek.
- Gyerekek jogai.A 16. életévüket (egyedi tagállami szabályozás szerint ez akár 13 év is lehet) be nem töltött személyek adatait csak szülői hozzájárulással lehet kezelni. A rendelet elvárása, hogy a technológiai lehetőségekhez mértén ellenőrizni kell azt, hogy a hozzájárulást valóban az arra jogosult szülő adta-e meg.
- Adatvédelmi hatásvizsgálatok.A szervezeten belül adatvédelmi hatásvizsgálatokat kell lefolytatni, amelyek kapcsolódhatnak a kockázatmenedzsmenthez is. Érdemes mihamarabb kijelölni azokat a munkatársakat, akinek majd feladatuk lesz a vizsgálat lefolytatása, és meghatározni azokat a területeket, melyeket ennek a vizsgálatnak le kell fednie. Ugyancsak fontos az ún. privacy by design alapelv követése. Ez persze nem újdonság, hiszen arról van szó, hogy az adatvédelemnek már a termékek, szolgáltatások kialakítása, fejlesztése során szerephez kell(ene) jutnia.
- Adatvédelmi tisztségviselő.Időben el kell dönteni, hogy a szervezetnél ki fogja végigvinni a GDPR-re való átállást. Ez történhet a jelenlegi adatvédelmi felelős bevonásával, vagy külső partner segítségével. Belső emberi erőforrások igénybevétele esetén figyelmet kell fordítani az adatvédelmi tisztségviselő képzésére.
- Nem EU-s cégeknek is van teendőjük.A GDPR egyik nagyon fontos sajátossága, hogy nem kizárólag az EU-ban működő szervezetekre vonatkozik, hanem minden olyan vállalatra, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha az EU-ban történik az adatok tárolása, akkor alapvetően a GDPR a mérvadó, egyéb esetben nemzetközi szerződések, jogszabályok, megállapodások is szerepet kapnak. Ezért ezek jogi szempontból történő feltérképezése nélkülözhetetlen az EU-n kívüli multinacionális cégek számára.
- Adatvédelmi incidensek kezelése.Végül, de nem utolsósorban, alaposan át kell gondolni az incidenskezeléssel összefüggő folyamatokat és a kapcsolódó technológiai hátteret. Ennek oka, hogy a GDPR előírja, hogy az adatvédelmi incidenseket azok felismerését követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell az illetékes felügyeleti hatóságnak. Ez pedig csak akkor kivitelezhető, ha rendelkezésre állnak a megfelelő eljárásrendek és technológiák. Az incidensek detektálásának és azt követő intézkedéseknek szigorúan szabályozott módon kell történniük, hogy a megfelelőség biztosított legyen egy esetleges nem várt esemény bekövetkeztekor.
Kérdéseiket tegyék fel megjegyzésben vagy keressék szakértőnket!
Kép forrása: pixabay.com