Az adat érték, amit védeni kell

Mit érdemes tudni az európai adatvédelemről?

Az információ világában mind a magánembernek, mind pedig vállalkozásnak nagyon fontos, hogy miről, mekkora mennyiségű és milyen pontos adattal rendelkezik. Az adatokkal való visszaélés a világ dollármilliárdos üzlete. Éppen ezért az EU nagyon fontosnak és hangsúlyosnak tartja az adatok kezelésének szabályozását. Ennek megismerésére mostanáig 130 millió EUR-t költöttek. A szabályozás nem újkeletű dolog, EU-s rendeleti szinten megjelent már az 1990-es években, aminek tagállami oldalról minden tagországnak meg kellett felelnie. Ennek eredményeképpen az összes tagállamban létrejött/megvalósult 28 az adatok kezelését és feldolgozásának szabályozását leíró szabály és rendelet.

A világot érintő két tendenciát lehet megkülönböztetni:

  • mi lesz a világot elárasztó hulladékmennyiséggel?,
  • hogyan gátoljuk meg a világméretet öltött és dollármilliárdokat megmozgató adatvisszaéléseket?

GDPR követelmények és háttérinformációk

Az EU komoly erőforrásokat biztosított a GDPR előkészítésére.

  • Jelenleg az EU tagállamaiban 28 különböző adatvédelmi szabály van, ennek megismerésére 130 millió €-t fordítottak.
  • A GDPR rendeletet több mint 4 éves előkészítő munka előzte meg.
  • 20 millió €, vagy az éves árbevétel 4%-a (mindig a magasabb összeg), megközelítőleg 6 milliárd forint – a GDPR megszegéséért, ennyi a maximálisan kiszabható büntetés.

Minden gazdálkodószervezetnek gondoskodnia kell a személyes adatok (bármely meghatározott - azonosított vagy azonosítható - természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés) védelméről, azaz az illetéktelen felhasználásról.

Az adatkezelőnek a személyes adatok kezelés során az alábbi 7 kritériumnak kell megfelelniük:

  1. az adatszolgáltató felé jelezni kell az általa szolgáltatott adat kezelésének célját,
  2. az adatkezelés jogalapját,
  3. az adat megőrzésének idejét,
  4. egyértelmű, részletes tájékoztatást kell adni az adatkezelés módjáról és az adatkezelésben érintett felekről,
  5. az adatszolgáltató hozzájárulását kell kérni az adatok kezeléséhez (amelynek önkéntesnek kell lennie),
  6. a szervezetnek adatvédelmi nyilvántartás kell készíteni a kezelt adatokról, adatfajtákról, valamint
  7. biztosítani kell az adatszolgáltató részére az adathelyesbítéshez és törléshez való jogot (a jogszabályi követelményeket figyelembe véve).

Az adatkezelőnek írott formában rögzíteni kell az adatok feldolgozásának módját, idejét és célját.

A GDPR rendszer kialakításának alapjai megegyeznek más vállalatirányítási folyamatirányítási menedzsment rendszer kialakításával, mely 4 területet foglalnak magukba: Jogi elvárások: Az interneten fellelhetőek „GDPR dokumentációs csomagok”, amely a tapasztalataink szerint ártól függetlenül (!) nem tartalmazzák a teljes, és a GDPR követelményeknek maximálisan eleget tevő és szükséges dokumentumokat. Rendszerint csak a „legszükségesebb” dokumentumok (Adatvédelmi szabályzat, adatkezelési tájékoztató, és egy-két „alap” sablon jelenik meg bennük, és még csak meg sem hivatkozzák a további, jogszabály által megkövetelt és a hatósági ellenőrzések során szükséges további szabályzatokat, kockázatelemzéseket, nyilvántartásokat.

  • Szervezeti elvárások: a szervezeti felépítéstől és munkaköri feladatoktól függően meg kell határozni az adatkezelésben érintett, munkaköri feladatokat, felelősségeket◦ Folyamati elvárások: az adatok kezelését, az adatok átadásának folyamatát folyamatszemlélettel kell megvalósítani, és láthatóvá tenni mind a belső munkatársak, mind pedig a hatóság részére.
  • Technológiai elvárások: az adatok kezelésének és védelmének módszereit, kritériumait, infrastrukturális feltételeit szintén meg kell határozni, és biztosítani kell.

A fentiek alapján tisztán láthatóvá válik, hogy a „vásárolt” dokumentációs csomagokkal a követelmények mindössze ~10-20 % teljesíthető. A maradék ~80-90 % teljesítéséhez egy esetleges ellenőrzés során megállapított 8 napos határidő nem elegendő.

NAIH és az ellenőrzések

A NAIH 2018-ban megkapta a bírságolási jogot, amely szerepkörének eleget is tesz. (Lásd http://www.naih.hu/hatosagi-hatarozatok---vegzesek.html.) Az a tévhit, miszerint türelmi idő van 2018-ban, a határozatokat szemlélve könnyen mindenki maga eldöntheti.

A jó hír: a GDPR követelményeknek eleget lehet tenni, azonban a követelményeket teljesítő adatkezelési folyamatok kialakításához elengedhetetlenül szükséges a rendszer- és folyamatszemléletű megközelítés és gondolkozásmód, valamint a menedzsment és vállalatirányítási rendszerkiépítési tapasztalat. Az adatkezelési folyamatok és tevékenységek, módszerek meghatározása, továbbá a kockázatszemléletű megközelítés nagy hasonlóságokat mutat más rendszerek kiépítésével, ahogy azt az alábbi ábra is szemléltet:

1. Állapotfelmérés

  1. Azonosítjuk a személyes adatok körét
  2. Megvizsgáljuk az adatok kezelésének
    1. Célját
    2. Módszereit
    3. Eszközeit
  3. Rögzítjük a feltárt eltéréseket, nemmegfelelőségeket
  4. Javaslatokat teszünk a GDPR megfelelés érdekében

2. Dokumentáció elkészítése

  1. Adatkezelési szabályzat
  2. Adatkezelési tájékoztató
  3. Adatfeldolgozási szerződések/mellékletek
  4. Adattovábbítási szerződések/mellékletek
  5. Közös adatkezelési szerződések
  6. Adatkezelési protokoll kialakítása

3. Rendszer bevezetése

  1. Adatvédelmi kockázatelemzés elkészítése
  2. IT kockázatelemzés elkészítése
  3. Hatásvizsgálati dokumentáció elkészítése
  4. Készítsük el a szükséges nyilvántartásokat:
    1. Adatvédelmi nyilvántartás
    2. Adatvédelmi incidens nyilvántartás
    3. Adattovábbítási nyilvántartás
    4. Stb.
  5. Személyügyi anyagok rendszerezése (nyilatkozatok)
  6. Adatkezelési protokollok kialakítása
  7. IT protokollok kialakítása
  8. Az állapotfelmérésen feltárt hiányosságok megszüntetése

4. Oktatás

A személyes adatok megfelelő kezelésének, valamint az incidensek bekövetkezésének elkerülésére a legjobb módszer a rendszeres és részletes oktatás:

  1. Incidens kockázatok
  2. Incidensmegelőzési oktatások
  3. Teendők az incidensek elkerülésére
  4. Teendők incidens bekövetkeztekor

5. Felülvizsgálat

A GDPR rendszert, valamint az adatfeldolgozási folyamatokat, módszereket és eszközöket és azok kezelését rendszeres időközönként (havi, negyedéves, féléves, éves [max.]) valamint a GDPR rendszert érintő változások esetén felül kell vizsgálni.

A kiépített GDPR rendszer képes kell, hogy legyen, a mindennapi aktuális változások (jogszabályi, személyi, technológiai, adatkezelési célok, üzletpartneri kapcsolatok, stb.) lekövetésére, hivatkozására, és folyamatos szabályozására.

Kósa György, Schreithofer Márk; ÖKOSYS Zrt.

Tartalom közti banner a cikk végére
no