Különösen védendő adatok: repkednek majd a 10 millió eurós bírságok? – GDPR 1. rész

„Az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez”

A rendelet egységes keretet kíván biztosítani az európai szintű adatvédelem számára, de azért sok ponton lehetőséget ad a tagállamoknak az egyedi szabályozásra. A nemzetközi cégeknek tehát továbbra is figyelniük kell majd a helyi sajátosságokra, és ennek megfelelően az egyes tagállamokban működő operációkra eltérő terhet ró majd a GDPR bevezetése.

Meghatározó a jelenlegi tevékenység

Az, hogy a felkészüléshez milyen intézkedéseket kell foganatosítani, milyen beruházások kellenek hozzá, természetesen nagymértékben függ attól is, hogy egy adott szervezet jelenleg milyen compliance jellegű tevékenységet folytat. Kétségtelen, hogy a szigorú biztonsági előírásokkal működő cégeknek könnyebb dolguk lesz, hiszen – ellentétben más vállalatokkal – már nagyobb valószínűséggel tudják a válaszokat a következő kérdésekre:

• Milyen adatokat dolgozunk fel, illetve kezelünk?
• Hol tárolódnak az információk (fájlszinten, helyi adatbázisokban, felhőben stb.)?
• Ki férhet hozzá az adatokhoz (szervezeten belül és azon kívül)?
• Mi az adatkezelés célja?
• Milyen hozzájárulások állnak rendelkezésre a természetes személyektől az adatkezelés vonatkozásában?
• Milyen szintű adatszivárgás-megelőzés működik?

Ezek olyan alapvető kérdések, amelyek megválaszolása nélkül a GDPR előírásait kielégítő adatkezelés megvalósításához sem lehet hozzáfogni. Már csak azért sem, mert az EU rendelete előírja a kockázatértékelést és a feltárt kockázatok csökkentésére történő intézkedések meghozatalát.

Töltse ki tesztünket, hogy kiderüljön, az Ön cége mennyire felkészült!

Nagy-Britannia adatvédelemért felelős szervezete, az Information Commissioner’s Office (ICO), Nagy-Britannia adatvédelemért felelős szervezete összeállított egy javaslatcsomagot, amellyel a GDPR-re történő felkészülés legfontosabb teendőit foglalta össze. Ez jó kiindulási pont lehet akár a hazai szervezeteknek is.

A felkészülés 12 pontja

1. Tudatosság.Mivel a GDPR erőfeszítéseket követel meg a szervezetek számos szintjén, ezért szükség van a felső vezetés elkötelezettségére, és nem utolsósorban a tudatosságára az adatvédelmet illetően. A döntéshozóknak tisztában kell lenniük azzal, hogy milyen elvárásokat támaszt a rendelet, és az milyen terheket ró a cégükre.
2. Információtárolás.Dokumentálni kell, hogy a személyes adatokat az adott cég hol tárolja, honnan származnak, ki férhet azokhoz hozzá, és az adatokat kikkel osztja meg. Ezt a fajta felmérést az adott vállalat minden szintjén, minden részlegén el kell végezi.
3. Kommunikáció.A jó esetben jelenleg is meglévő adatvédelmi szabályzatokat felül kell vizsgálni, és minél előbb átalakítani a GDPR kívánalmainak megfelelően.
4. Felhasználói jogok.Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani. Ilyen például a törléshez (elfeledtetéshez) való jog, amit az üzleti folyamatok és a technológia szintjén is kezelni kell. A magyar piacon is kaphatók olyan megoldások, melyek széles körben, akár felhős környezetben is használhatók a törvény szellemét követő adattörlésre.
5. Bejelentések, panaszok kezelése.Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.
6. Adatfeldolgozás.Azonosítani kell az adatfeldolgozó folyamatokat, és megtenni azokat a szükséges változtatásokat, amik biztosítják a GDPR-megfelelőséget.
7. Hozzájárulások rögzítése.A GDPR világosan kimondja, hogy az adatkezelőnek utólag, bármikor tudnia kell igazolni azt, hogy az adatok feldolgozásához az adott személy a jogszabályban előírt módon hozzájárult. Vagyis olyan rendszert kell kialakítani, amely képes a hozzájárulásokkal kapcsolatos alapvető adatok rögzítésére, visszakeresésére. Ez – és persze több más pont is – komoly adminisztrációs terhet ró a vállalatokra, ami új piacot is jelent az adatbiztonsági megoldásokat fejlesztő cégeknek.
8. Gyerekek jogai.A 16. életévüket (egyedi tagállami szabályozás szerint ez akár 13 év is lehet) be nem töltött személyek adatait csak szülői hozzájárulással lehet kezelni. A rendelet elvárása, hogy a technológiai lehetőségekhez mértén ellenőrizni kell azt, hogy a hozzájárulást valóban az arra jogosult szülő adta-e meg.
9. Adatvédelmi hatásvizsgálatok.A szervezeten belül adatvédelmi hatásvizsgálatokat kell lefolytatni, amelyek kapcsolódhatnak a kockázatmenedzsmenthez is. Érdemes mihamarabb kijelölni azokat a munkatársakat, akinek majd feladatuk lesz a vizsgálat lefolytatása, és meghatározni azokat a területeket, melyeket ennek a vizsgálatnak le kell fednie. Ugyancsak fontos az ún. privacy by design alapelv követése. Ez persze nem újdonság, hiszen arról van szó, hogy az adatvédelemnek már a termékek, szolgáltatások kialakítása, fejlesztése során szerephez kell(ene) jutnia.
10. Adatvédelmi tisztségviselő.Időben el kell dönteni, hogy a szervezetnél ki fogja végigvinni a GDPR-re való átállást. Ez történhet a jelenlegi adatvédelmi felelős bevonásával, vagy külső partner segítségével. Belső emberi erőforrások igénybevétele esetén figyelmet kell fordítani az adatvédelmi tisztségviselő képzésére.
11. Nem EU-s cégeknek is van teendőjük.A GDPR egyik nagyon fontos sajátossága, hogy nem kizárólag az EU-ban működő szervezetekre vonatkozik, hanem minden olyan vállalatra, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha az EU-ban történik az adatok tárolása, akkor alapvetően a GDPR a mérvadó, egyéb esetben nemzetközi szerződések, jogszabályok, megállapodások is szerepet kapnak. Ezért ezek jogi szempontból történő feltérképezése nélkülözhetetlen az EU-n kívüli multinacionális cégek számára.
12. Adatvédelmi incidensek kezelése.Végül, de nem utolsósorban, alaposan át kell gondolni az incidenskezeléssel összefüggő folyamatokat és a kapcsolódó technológiai hátteret. Ennek oka, hogy a GDPR előírja, hogy az adatvédelmi incidenseket azok felismerését követően haladéktalanul, de legkésőbb 72 órán belül jelenteni kell az illetékes felügyeleti hatóságnak. Ez pedig csak akkor kivitelezhető, ha rendelkezésre állnak a megfelelő eljárásrendek és technológiák. Az incidensek detektálásának és azt követő intézkedéseknek szigorúan szabályozott módon kell történniük, hogy a megfelelőség biztosított legyen egy esetleges nem várt esemény bekövetkeztekor.

 

Kérdéseiket tegyék fel megjegyzésben vagy keressék szakértőnket!