GDPR szabályok: előnyünkre válhat, de nem lesz egyszerű

Egészen új EU-s adatvédelmi szabályozás érkezik 2018. május 25-én. S ezúttal nem csak azért nem lesz érdemes legyinteni, mert meglehetősen borsos büntetések várnak azokra, akik nem felelnek meg az új adatvédelmi előírásoknak. Nemes egyszerűséggel arról van szó, hogy egy olyan korszakban, ahol az internet már profi alvilági csoportok játszóterévé vált, nem vehetjük félvállról a biztonságot. S mivel a tökéletes védelem a jelek szerint nem létezik, nem árt felkészülni arra az esetre sem, ha valami balul sül el (lásd a nem is olyan régen történt BKK botrányt, vagy az egészen friss Uber hekkelést). Lássuk hát, mit is hoznak az új GDPR szabályok a hazai cégek számára.

 

Cégnek és felhasználónak egyaránt előnyös

Az új általános adatvédelmi rendelet, avagy a GDPR (General Data Protection Regulation) az EU korábbi adatvédelmi irányelvének (95/46/EC) leváltására hivatott, célja pedig nem más, mint hogy az EU-n belül egységesebbé váljon az online környezetben felbukkanó személyes adatok védelme. Ha nagyon le akarjuk egyszerűsíteni a dolgot, akkor az ügyfeleik személyes adatait tároló cégek – a GDPR életbelépésétől számítva – a személyes adatvédelem elszámoltathatósági körébe esnek. Ennek köszönhetően 72 órán belül jelezniük kell a felügyelő hatóságok és az érintett ügyfelek felé egyaránt, az adatokat érintő incidenseket, például egy hacker támadás tényét. Ha ezt elmulasztják, akkor adott esetben 20 millió euró (vagy az éves bevétel 4 százaléka) lehet a büntetés. A büntetés kiszabása az adatvédelmi hatóság jogköre lesz, akik egyéni mérlegelés alapján dönthetnek annak mértékéről. Tehát nem kötelező rögvest ekkora büntetési tételt kiszabniuk, de minek is kockáztatná meg mindezt egy cég, amikor a GDRP valójában nem támaszt teljesíthetetlen követelményeket. Bár kétségtelen, hogy sok cégnél lesz mit átalakítani.

 

GDPR szabályok

A szabályozás alapján kötelező lesz a személyes adatok álnevesítése és titkosítása, emellett pedig a tárolásra használt rendszerek biztonságáról, a szolgáltatások biztosításáról, integritásukról, megfelelő rendelkezésre állásukról is gondoskodni kell. Ugyancsak meg kell oldani, hogy bármilyen incidens esetén vissza lehessen állítani az adatokat. A megoldásokat folyamatosan tesztelni és értékelni kell. Bár a katasztrófa-helyreállítási terv már eddig is javasolt volt minden cég számára, mostantól ez gyakorlatilag alapkövetelmény, adatvédelmi hatástanulmánnyal és belső szabályzattal együtt. Sőt, kötelező az adatvédelmi felelős kijelölése is. Emellett kulcskezelési rendszerek alkalmazása is javasolt. Az eddigieken túl az adatkezelőnek a megőrzési, felhasználási időn túl gondoskodnia kell az adatok végleges törléséről, amibe nem csak az aktív adatbázisok tartoznak bele, hanem a biztonsági mentések is. Ennek kapcsán csak zárójelben jegyezzük meg, hogy érdemes lesz ennek fényében újragondolni az adatmentési procedúrákat (különösen, ha valahol még esetleg szalagos megoldással mentenek).

Akadnak egyébként enyhítő körülmények is. Ilyen például, hogy az érintettek értesítése kihagyható, ha az adatkezelő alkalmazta az elvárt biztonsági megoldásokat, illetve további – megfelelő – intézkedéseket is tett az incidens után, az esetleges adatszivárgás kockázatának elhárítására.

 

Összegzésül

Nagyvállalatok esetében a GDPR ugyan hoz újdonságokat, de ha egy cégnél eleve odafigyeltek a személyes adatok biztonságára, akkor ezek nagy részén már rég túl vannak. A kkv-k esetében viszont valószínűleg sokan ütköznek majd problémákba. Nekik javasolt szakértők tanácsát kérni, hogy még időben sikerüljön minden szempontból megfelelni az elvárásoknak. Egyetlen cikk keretein belül mi sem tudunk minden részletet elmesélni, azonban a GDRP teljes szövege elérhető ezen a linken.

Ne maradjon le erről sem!

Mint a legtöbb weboldal, mi is használunk sütiket az oldalon. Elfogadom Adatkezelési tájékoztató