Május 25-én lép életbe az Egységes Európai Adatvédelmi Rendelet (GDPR), ám egy szervezet sem tud rá 100 százalékosan felkészülni, és a jogszabály minden pontjának megfelelni. A hátralévő időszak már nem sok mindenre elég. Azok a cégek pedig, amelyek úgy gondolják, az informatikusok majd gondoskodnak az adatok védelméről, nagyon rossz úton járnak – véli Solymos Ákos, a Quadron Kibervédelmi Kft. szakértője.
A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így ha egy vállalkozás vagy szervezet életében ezek védelme nem kap kiemelt szerepet, komoly veszélyek fenyegethetik nemcsak az ügyfeleket, de magát a céget is. Éppen ezért vezetik be május 25-től a GDPR-t, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait.
A GDPR-ral kapcsolatban az a rossz hír, hogy soha senki nem fogja tudni kijelenteni azt, hogy márpedig a szervezet 100 százalékig felkészült és a jogszabály minden pontjának megfelel. Ez azért van, mert a személyes adatok védelme – hasonlóan az információvédelemhez – egy kockázatalapú megközelítésen nyugszik. Ahogy a szervezet, úgy a fenyegető tényezők is változnak. Mindössze annyi várható el, hogy a szervezet elfogadható kockázati szinten működjön. Ahogy nincs 100 százalékos biztonság, úgy nincs 100 százalékos GDPR megfelelés sem – emelte ki a szakértő.
Adatkezelő vs. adatfeldolgozó
A maradék másfél hónap már nem sok mindenre elég. A kibervédelmi cég szerint fontos kiemelni, hogy a személyes adatok védelme – hasonlóan a szervezet egyéb információs vagyonának védelméhez – nem az IT feladata. A szervereken lévő adatokat, információkat és fájlokat nem az informatikusok teszik oda és használják, hanem üzleti, szervezeti folyamatokon keresztül a teljes vállalat. Éppen ezért van a GDPR-ben is megfogalmazva az adatkezelő és az adatfeldolgozó közötti különbség: elsősorban az adatkezelő felel az adatokért, mivel ő dönt, ő határozza meg a kezelés módját.
Az informatikus vagy programozó csupán adatfeldolgozó: nem ő mondja meg, hogy egy üzleti folyamatot támogató rendszer milyen funkciókkal és adatokkal működjön. Nem az informatikusok dolga – és nem is a jogászoké – annak eldöntése, hogy egy-egy személyes adat vagy az azt kezelő rendszer mennyire fontos a szervezetnek, és hogyan kell megvédeni azokat.
Komoly bírságokat kockáztatnak a cégek
Az információvédelem egy külön szakma, ami tanulható, viszont egy szervezet nem tud egy tollvonással a megfelelő információ- és adatvédelmi szintre eljutni. Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. Hasonlóan a DPO, vagyis adatvédelmi tisztviselő szerepköre mellett a vállalatoknak ki kell alakítaniuk egy információvédelmi felelősi szerepkört is. Ha ezt komolyan veszik, akkor ez előbb utóbb egy szervezetté fogja kinőni magát. A jövőben ezt mindenkinek szem előtt kell tartania, mert adatvédelmi incidens vagy a jogszabály megszegése esetén komoly büntetés várható – fejtette ki Solymos Ákos.
Az első és legfontosabb, amit tudnunk kell, az, hogy mit akarunk megvédeni. Fel kell mérni, hogy milyen személyes adatokat kezel a cég, milyen folyamatokban játszanak szerepet, ki fér hozzájuk, hol és milyen formában tárolódnak – a GDPR a papír alapú adatkezelésre is vonatkozik. Végül pedig tisztában kell lenni azzal, mennyi ideig kell ezeket megőrizni.
„A személyes adatok kezelése, mint fogalom a jogszabályban megtalálható. A lényeg, hogy amíg nem ismerjük a szervezetünket a személyes adatok kezelése szempontjából, addig teljesen esélytelen a siker mind a jogi résznek való megfelelés, mind a személyes adatok megvédésére tett erőfeszítések tekintetében” – tette hozzá a szakember.
Kiemelt fotó: Thinkstock
