Készen állunk-e 2018. május 25-én, a GDPR (General Data Protection Regulation), azaz az EU általános adatvédelmi rendeletnek megfelelésre? Egyetlen hiba, s a hatóságok keményen, az eddigiek többszörösével szankcionálhatnak, akiknek az adatait kezeljük, pedig tömegesen perelhetnek.
Mi az a GDPR?
Egyre többet és egyre rémisztőbbet hallunk róla, de sokan még mindig nem tudják, hogy pontosan miről szól a GDPR. Azt meg végképp nem gondolják, hogy rájuk is vonatkozhat. Márpedig a GDPR-ral minden vállalkozásnak, szervnek vagy szervezetnek (továbbiakban szervezet) foglalkoznia kell, akinek legalább egy munkavállalója, vagy legalább egy ügyfele van. A szervezeteknek nagyon sok adattal van dolguk, gondoljunk csak az ügyfelekről készített listákra, de ide sorolható a munkavállalók különféle adatai is, vagy akár a felvételizők önéletrajzai, amiket őrzünk. Tehát mindenkinek, aki Magyarország területén személyes adatokat kezel, függetlenül az alkalmazott technológiától, vagy épp az adatbázis nagyságától.
Melyek a GDPR főbb elvei?
A GDPR hat elv köré épül fel: • Az átláthatóság előírása a személyes adatok kezelésével és használatával kapcsolatban. • A személyes adatok kezelésének korlátozása meghatározott, jogszerű célokra. • A személyes adatok gyűjtésének és tárolásának korlátozása a tervezett célokra. • A természetes személyek számára lehetőség biztosítása személyes adataik helyesbítésére vagy törlésének kérésére. • A személyazonosításra alkalmas adatok tárolásának korlátozása a tervezett cél eléréséhez szükséges időre. • A személyes adatok a megfelelő biztonsági intézkedések alkalmazásával történő védelmének biztosítása.
Mik az elsődleges feladataink a GDPR-rel kapcsolatban?
Fel kell térképeznünk a személyes adatokat, át kell néznünk az adatbázisainkat, az informatikai hátteret, adatbiztonsági rendszereinket! El kell készíteni a szükséges alapdokumentumokat. Meg kell tennünk mindent a papír és elektronikus alapú dokumentumainkban szereplő adatok biztonságba helyezése és megfelelő kezelése érdekében. Ezek pl. a weboldalunk, hírleveleink, adatbázisaink, social media felületeink, feljegyzéseink vagy adatgyűjtéseink.
Felül kell vizsgálni és szabályoznunk kell többek között az adatgyűjtés, adattárolás, adattovábbítás területét az új adatvédelmi szabályok fényében. Ez rengeteg adminisztratív feladattal jár majd. Fel kell mérni a különféle területeket, a szabályzást megfelelővé kell tenni, majd folyamatosan ellenőrizni kell, hogy minden az aktuális adatvédelmi előírásoknak megfelelően történik-e. A GDPR egy teljesen új szemléletet igényel, és a szervezeteknek új adatvédelmi és adatbiztonsági stratégiát kell kialakítaniuk.
Pontosan dokumentálni kell az adatkezelési folyamatokat, le kell írni az adat történetét, jelenét és jövőjét. Rögzíteni kell, hogy miért, milyen célból gyűjtöttük az adatokat, meddig tároljuk őket, ki tud hozzájuk férni. Nem csak dokumentálni kell az adatokat, hanem a jogszabálynak megfelelően kezelni is (védeni, rendelkezésre bocsátani, törölni, stb.) kell őket, ezzel jogszerűvé téve a folyamatokat.
Első lépésként adatvagyon felmérést és szükség szerint hatásvizsgálatot kell végezni. El kell érni, hogy csak olyan adatokat kezeljenek a szervezetek, amelyekre tényleg szükségük van, és az adatokhoz csak a jogosultaknak szabad hozzáférnie. Szükség van arra is, hogy felmérjék a hiányosságokat és az adatvédelmi kockázatokat. (Ezzel érdemes lehet szakembert megbízni, adatvédelmi és információbiztonsági szakértőt.) Mindezt lezárva, szabályozni kell egy adatvédelmi és információbiztonsági szabályzatban a vonatkozó elvárások teljesülését.
Érdemes lesz a szervezeteknek ugyanakkor belső adatvédelmi szakembert is alkalmazniuk. Nagy tömegű személyes adatkezelést végző szervezeteknél kötelezően ki kell nevezni adatvédelmi tisztviselőt is, aki felelős lesz az adatbiztonság megerősítéséért, az érintettek jogérvényesítésének segítéséért.
Fontos továbbá, hogy az adatvédelmet az információbiztonsággal (biztonsági felmérések, szabályozás, incidenskezelés, oktatás, stb.) együttesen kezeljük, hiszen itt nem egyszeri szabályozásról van szó, hanem egy folyamatról, mivel folyamatosan biztosítani kell tudni az adatok megfelelő kezelését.
Amennyiben adatvédelem vagy információbiztonság területén a segítségükre lehetünk, (adattérkép készítése, szükséges adatvédelmi és információbiztonsági vizsgálatok elvégzése, adatvédelmi és információbiztonsági szabályzatok elkészítése, oktatás, vagy adatvédelmi tisztviselő biztosítása) kérem vegye fel velünk a kapcsolatot.
Bízza szakértőinkre a munkát!