GDPR: elmélet és gyakorlat

2017. október 13. 13:00
Forrás: IT Business
Még mindig túl sokan vannak, akik nem kezdték meg a felkészülést a GDPR-ra. Pedig a jövő májusi határidő akkor is vészesen közeleg, ha sok esetben a pontos jogszabályi környezet még nem egyértelmű.A vállalkozások nagyjából ötöde nincs tisztában a rá vonatkozó követelményekkel; ugyanilyen arányban vannak azok, akik meg sem kezdték a felkészülést; és több mint felük a védendő értékekkel, a kockázatokkal és az esetleges támadások gyakoriságával, súlyosságával sincs tisztában. (Az adatok az IDC és az ESET idei felméréséből valók.) És teszik ezt (illetve nem teszik) azzal a GDPR-ral kapcsolatban, amely jövő májustól minden, az EU területén működő vállalkozásra egyaránt vonatkozni fog, és amely komoly büntetésekkel fenyegeti a szabályozás megsértőit. Bármennyi szó is esett eddig a GDPR-ról különféle fórumokon, úgy tűnik, nem lehet eleget beszélni a hamarosan hatályba lépő közös uniós adatvédelmi irányelvekről. A NEXON IT-Kikötő idei rendezvénye – amely egyben a szeptemberi, kihelyezett ITB Clubnak is helyet adott – ezért is járta körül a témát jogi, HR, IT-biztonsági és nem utolsósorban gyakorlati szempontból.   Vannak még kérdések Bár a GDPR (General Data Protection Rules) új jogszabály, az adatvédelemnek, és azon belül a személyes adatok védelmének a koncepciója egyáltalán nem új keletű a magyar jogrendben – adott egy kis történelmi áttekintést Jóri András volt adatvédelmi ombudsman, a Data Protection ügyvezetője. Miért érdekes mégis ennyire a GDPR? Egyrészt azért, mert mindenkire kötelező érvényű európai jogszabályként lép életbe jövő májusban, másrészt számos területen felülírja a korábbi nemzeti szabályozásokat. A NAIH eddig maximum 20 millió forintig szabhatott ki bírságokat, és például a kisvállalkozásokat az első szabályszegésnél csak figyelmeztette. A GDPR-ban a felső határ a hírhedt 20 millió euró, illetve a teljes globális forgalom 4 százaléka, és mindez egyből „bevethető”. Sok esetben nem egyértelmű, hogy milyen nemzeti jogszabályokat és hogyan ír felül az EU-s rendelet. Magyarországon ugyanis még nem módosították az információbiztonsági törvényt, így számos részlet egyelőre a jogászok számára is homályos. Hogyan fognak viszonyulni a szektorális (például a pénzügyi szervezetekre vonatkozó) előírások a GDPR-hoz? Milyen szabályozás marad nemzeti hatáskörben? Milyen területeket vesz ki a GDPR hatálya alól az e-privacy rendelet? Mit szabályoz a magyar rendőrségi törvény? Ezzel együtt ki lehet emelni a rendelkezés néhány fontos csomópontját, amely meghatározza a felkészülés főbb irányait. Az első ilyen, hogy a GDPR rendkívül tágan értelmezi a személyes adat fogalmát – minden ide tartozik, amelyből következtetni lehet egy ember személyazonosságára, vagy ami kapcsolatba hozható vele. Vagyis ebbe nemcsak az olyan adatok tartoznak, mint a név, születési hely, születési idő, lakcím, hanem például az egészségi állapottal kapcsolatos információk (vércsoport, DNS-térkép, CT-felvételek), videofelvételek, kézírás, és még számtalan más minden.   Informatikával sem egyszerű Bár a GDPR-ra való felkészülést a szervezet és a szabályzatok szintjén kell kezdeni, az érintettek előbb vagy utóbb biztosan eljutnak oda, hogy valamit az informatikai rendszereikkel is tenniük kell és az információbiztonságot sem hanyagolhatják el. Az IT-biztonsági szakembereket meg sem lepi, hogy a többség nem áll jól a felkészülésben, hiszen az informatikai biztonságtudatosság szintje eddig is alacsony volt, így ebben semmi újdonság nincs – fogalmazta meg véleményét Keleti Arthur IT-biztonsági stratéga a rendezvény egyik kerekasztal-beszélgetésén. Nem elég paranoiásak az emberek, és sokan úgy vélik, hogy a GDPR rájuk nem fog vonatkozni, pedig igen, tette még hozzá Papp Péter , a Kancellár.hu elnöke. Informatikai adatvédelmi szempontból különösen nehéz a GDPR előírásainak való megfelelés. Az informatika eszközkészlete ugyanis sok esetben nem vagy csak nehezen tudja támogatni azokat a kívánalmakat, amelyeket a jogszabály előír. A felejtéshez való jogot például könnyen be lehet írni a GDPR-ba, akár még a cég adatkezelési szabályzatába is, de a napi gyakorlatba átültetni már sokkal nehezebb. Hogyan oldjuk meg például, ha öt évre visszamenően a különféle biztonsági mentésekből is szelektíven ki kell törölni valakinek az adatait? De ugyanilyen gyakorlati kérdéseket vet fel az adathozzáférések jogosultságának kezelése is. „Tegyük fel, szolgáltatóként dolgozik valaki egy tenderen. A tender dokumentációjában is számtalan személyes adat rejtőzhet. Rémálom lehet annak eldöntése, hogy ezekhez az adatokhoz éppen kinek kell és szabad hozzáférést adni, nem beszélve arról, hogy a jogosultságok megadását és visszavonását is folyamatosan naplózni kell” – mondta Keleti Arthur. Az ilyen kívánalmak miatt a GDPR-nak való megfelelés folyamatos munkát igényel majd, a jogszabály életbe lépése után is be kell építeni a napi gyakorlatba. Nincs olyan, hogy valaki felkészült, most már megpihenhet – a megfelelés fenntartása pénzt és erőforrásokat igényel, de még mindig kisebb fájdalommal jár, mint a szabályszegés következményei. Frész Ferenc , a Cyber Services ügyvezetője szerint a nagyvállalatok sem állnak igazán jól az adatvédelem terén. Elkészítették ugyan a szabályzataikat, működnek náluk a biztonsági rendszerek, és ezek papíron meg is felelnek a különféle előírásoknak, szabványoknak, de technikai szinten nem teljesítik az elvárásokat. Az IT-biztonság ráadásul nem feltétlenül csak anyagi kérdés. Minden a menedzsment fejében dől el: ha ők csak a túlélésre játszanak, az előírásoknak csak papíron akarnak megfelelni, akkor nem jól állnak a kérdéshez és túl sokat kockáztatnak. Ha tényleg fontosnak tartják a biztonságot, és prioritásként kezelik, már sokkal előrébb tartanak. Jó kiindulási pont lehet például, mondja Frész Ferenc, ha a cég felméri, milyen értéket jelent számára az adatvagyon, és milyen károkat okozna, ha ezeket elveszítené, illetéktelen kezekbe kerülne, esetleg nem férne hozzá. Így ugyanis a potenciális károkból kiindulva már könnyebb meghatározni, hogy mennyit érdemes az adatok védelmére költeni.