Az adat érték, amit védeni kell

Az információ világában mint magánembernek, mind pedig vállalkozásnak nagyon fontos hogy miről, mekkora mennyiségű és milyen pontos adattal rendelkezik. Az adatokkal való visszaélés a világ dollármilliárdos üzlete. Éppen ezért az EU nagyon fontosnak és hangsúlyosnak tartja az adatok kezelésének szabályozását. Ennek megismerésére mostanáig 130 millió EUR-t költöttek. A szabályozás nem újkeletű dolog, EU-s rendeleti szinten megjelent már az 1990-es években, aminek tagállami oldalról minden tagországnak meg kellett felelnie. Ennek eredményeképpen az összes tagállamban létrejött/megvalósult 28 az adatok kezelését és feldolgozásának szabályozását leíró szabály és rendelet.

A világot érintő két tendenciát lehet megkülönböztetni:

• mi lesz a világot elárasztó hulladék mennyiséggel

• hogyan gátoljuk meg a világméretet öltött és dollármilliárdokat megmozgató adatvisszaéléseket.

GDPR követelmények és háttérinformációk

Az EU komoly erőforrásokat biztosított a GDPR előkészítésre o Jelenleg az EU- tagállamaiban 28 különböző adatvédelmi szabály van, ennek megismerésére 130 millió €-t fordítottak o A GDPR rendeletet több mint 4 éves előkészítő munka előzte meg o 20 millió €, vagy az éves árbevétel 4%-a (mindig a magasabb összeg), megközelítőleg 6 milliárd forint - a GDPR megszegéséért, ennyi a maximálisan kiszabható büntetésMinden gazdálkodó szervezetnek gondoskodnia kell a személyes adatok (bármely meghatározott - azonosított vagy azonosítható - természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés) védelméről, azaz az illetéktelen felhasználásról.

Az adatkezelőnek a személyes adatok kezelés során az alábbi 7 kritériumnak kell megfelelniük:1. az adatszolgáltató felé jelezni kell az általa szolgáltatott adat kezelésének célját;2. az adatkezelés jogalapját;3. az adat megőrzésének idejét;4. egyértelmű, részletes tájékoztatást kell adni az adatkezelés módjáról és az adatkezelésben érintett felekről;5. az adatszolgáltató hozzájárulását kell kérni az adatok kezeléséhez (amelynek önkéntesnek kell lennie);6. a szervezetnek adatvédelmi nyilvántartás kell készíteni a kezelt adatokról, adatfajtákról, valamint7. biztosítani kell az adatszolgáltató részére az adathelyesbítéshez és törléshez való jogot (a jogszabályi követelményeket figyelembe véve).

Az adatkezelőnek írott formában rögzíteni kell az adatok feldolgozásának módját, idejét és célját.

A GDPR rendszer kialakításának alapjai megegyeznek más vállalatirányítási folyamatirányítási menedzsment rendszer kialakításával, mely 4 területet foglalnak magukba: o Jogi elvárások: Az interneten fellelhetőek „GDPR dokumentációs csomagok”, amely a tapasztalataink szerint ártól függetlenül (!) nem tartalmazzák a teljes, és a GDPR követelményeknek maximálisan elegettevő és szükséges dokumentumokat. Rendszerint csak a „legszükségesebb” dokumentumok (Adatvédelmi szabályzat, adatkezelési tájékoztató, és egy-két „alap” sablon jelenik meg bennük, és még csak meg sem hivatkozzák a további, jogszabály által megkövetelt és a hatósági ellenőrzések során szükséges további szabályzatokat, kockázatelemzéseket, nyilvántartásokat. o Szervezeti elvárások: a szervezeti felépítéstől és munkaköri feladatoktól függően meg kell határozni az adatkezelésben érintett, munkaköri feladatokat, felelősségeket o Folyamati elvárások: az adatok kezelését, az adatok átadásának folyamatát folyamatszemlélettel kell megvalósítani, és láthatóvá tenni mind a belső munkatársak, mind pedig a hatóság részére. o Technológiai elvárások: az adatok kezelésének és védelmének módszereit, kritériumait, infrastrukturális feltételeit szintén meg kell határozni, és biztosítani kell.

A fentiek alapján tisztán láthatóvá válik, hogy a „vásárolt” dokumentációs csomagokkal a követelmények mindössze ~10-20 % teljesíthető. A maradék ~80-90 % teljesítéséhez egy esetleges ellenőrzés során megállapított 8 napos határidő nem elegendő.

NAIH és az ellenőrzések

A NAIH 2018-ban megkapta a bírságolási jogot, amely szerepkörének eleget is tesz. Lásd http://www.naih.hu/hatosagi-hatarozatok---vegzesek.html. Az a tévhit, miszerint türelmi idő van 2018-ban, a határozatokat szemlélve könnyen mindenki maga eldöntheti.

A jó hír: a GDPR követelményeknek eleget lehet tenni, azonban a követelményeket teljesítő adatkezelési folyamatok kialakításához elengedhetetlenül szükséges a rendszer- és folyamatszemléletű megközelítés és gondolkozásmód, valamint a menedzsment és vállalatirányítási rendszerkiépítési tapasztalat.

Az adatkezelési folyamatok és tevékenységek, módszerek meghatározása, továbbá a kockázatszemléletű megközelítés nagy hasonlóságokat mutat más rendszerek kiépítésével, ahogy azt az alábbi ábra is szemléltet:

ÁBRA

1 Állapotfelmérés

1. Azonosítjuk a személyes adatok körét

2. Megvizsgáljuk az adatok kezelésének

1. Célját

2. Módszereit

3. Eszközeit

3. Rögzítjük a feltárt eltéréseket, nem megfelelőségeket

4. Javaslatokat teszünk a GDPR megfelelés érdekében

2 Dokumentáció elkészítése

1. Adatkezelési szabályzat

2. Adatkezelési tájékoztató

3. Adatfeldolgozási szerződések/mellékletek

4. Adattovábbítási szerződések/mellékletek

5. Közös adatkezelési szerződések

6. Adatkezelési protokoll kialakítása

3 Rendszer bevezetése

1. Adatvédelmi kockázatelemzés elkészítése

2. IT kockázatelemzés elkészítése

3. Hatásvizsgálati dokumentáció elkészítése

4. Készítsük el a szükséges nyilvántartásokat:

1. Adatvédelmi nyilvántartás

2. Adatvédelmi incidens nyilvántartás

3. Adattovábbítási nyilvántartás

5. Személyügyi anyagok rendszerezése (nyilatkozatok)

6. Adatkezelési protokollok kialakítása

7. IT protokollok kialakítása

8. Az állapotfelmérésen feltárt hiányosságok megszüntetése

4 Oktatás

A személyes adatok megfelelő kezelésének, valamint az incidensek bekövetkezésének elkerülésére a legjobb módszer a rendszeres és részletes oktatás:

1. Incidens kockázatok

2. Incidens-megelőzési oktatások

3. Teendők az incidensek elkerülésére

4. Teendők incidens bekövetkeztekor

5 Felülvizsgálat

A GDPR rendszert, valamint az adatfeldolgozási folyamatokat, módszereket és eszközöket és azok kezelését rendszeres időközönként (havi, negyedéves, féléves, éves [max.]), valamint a GDPR rendszert érintő változások esetén felül kell vizsgálni.

A kiépített GDPR rendszer képes kell hogy legyen, a mindennapi aktuális változások (jogszabályi, személyi, technológiai, adatkezelési célok, üzletpartneri kapcsolatok, stb.) lekövetésére, hivatkozására, és folyamatos szabályozására.

Adatvédelmi képviselők

Az új általános adatvédelmi rendelet adatvédelmi képviselők (továbbiakban DPO) kötelező kinevezését a következő szerveknél teszi kötelezővé: önkormányzatok és önkormányzati üzemeltetésű intézmények, 20 főnél több főt foglalkoztató egészségügyi intézmények, országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelők továbbá minden olyan szervezetnél, ahol különleges személyes adatot kezelnek valamint magas szintű adatkezelési kockázat áll fenn. DPO-k kinevezése azonban minden más szervezetnél is javasolt, ugyanis a GDPR rendszer hatékony kiépítését és üzemeltetését nagymértékben tudja segíteni az adatvédelmi jogszabályokban jártas képviselő.

ÖKOSYS Zrt. – Kósa György, Schreithofer Márk

no