Minden, amit a GDPR-ról tudni érdemes

Minden, amit a GDPR-ról tudni érdemes

Az Information Management Mentoring (IM Mentoring) célja, hogy minden szükséges kompetenciát egyesítsen, amelynek segítségével hatékonyan támogathatja a hazai cégek információgazdálkodását. A társaságot alapító Bátyi Zsolt információbiztonsági tanácsadó lapunknak elmondta: az Általános Adatvédelmi Rendeletről – közismertebb nevén GDPR-ról – nem lehet röviden beszélni, ahhoz túl sok a kérdés és a félretájékoztatás a témában. Egy biztos: még mindig van mit tisztázni.

 

Fogalom

A GDPR meghatározza, hogy az európai uniós állampolgárok személyes adatait üzleti céllal milyen feltételek között kezelhetik. A bonyodalom először a személyes adatok meghatározásában keresendő, mivel a GDPR jelentős mértékben kitágította a személyes adatok fogalmát. Kijelenthetjük, hogy minden adat, ami közvetlenül vagy akár közvetetten is egy természetes személyhez rendelhető, az személyes adatnak minősül. Ilyen lehet egy IP cím, egy rendszám vagy egy GPS-követés is.

Előzmények

Nem a GDPR volt az első adatvédelmi szabályozása az Európa Parlamentnek. A rendelet közvetlen elődjének tekinthetjük a 95/46/EK európai parlamenti és tanácsi irányelvet, amely az európai uniós országok adatvédelmi rendelkezéseinek, így a hazai, 2011 óta hatályos infotörvénynek is alapjául szolgált. Míg azonban a 95/46/EK csupán irányelv volt, és a tagállamok saját hatáskörben implementálták, addig a 2016/679 EP (GDPR) rendeleti szinten szabályozza a személyes adatok védelmét, amely a tagállamokban közvetlenül alkalmazandó.

A hazai vállalkozások azt érezhették az idei év elején, hogy a semmiből szakadt a nyakukba az adatvédelmi kényszer, amit a GDPR teremtett. Ezt a meglepetést csak még tovább fokozta a felhajtás, amit a 20 millió euróban maximalizált büntetési tételre építő rémületkampány generált.

Bár tény, hogy a kiszabható legnagyobb büntetés ennyi, sőt, amennyiben ezt meghaladja a vállalat éves globális árbevételének 4 százaléka, még lehet magasabb is – de ez nem azt jelenti, hogy minden esetben horrorisztikus büntetésekkel kellene számolni. A személyes adat érték. Minél nagyobb mennyiségben kezeljük és minél érzékenyebb, annál nagyobb értéket képvisel, így a védelem szükséges mértéke, illetve az esetleges retorzió is ennek fényében alakul. Mivel például a legnagyobb közösségi médiában érdekelt portál több milliárd ember adatait kezeli, a rájuk kiróható szankció is jelentősen magasabb lesz, mint egy hazai kkv esetében, ahol az érintettek száma mondjuk pár százra rúg.

Tévhitek

Sokakban fel is merült a kérdés, hogy hogyan várhatnak el ilyen hirtelen ekkora változtatásokat. Erre a válasz a megkésett tájékoztatásban keresendő, hiszen a GDPR már 2016 II. negyedévének elején hatályba lépett, 2018. május 25-én a felkészülésre biztosított türelmi idő járt le. A közvélemény várakozásával ellentétben viszont a türelmi idő lejártát nem követte a sokat emlegetett retorzió. Ennek oka bár egyszerű, mégsem közismert: nem rendelkezett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a betartatáshoz és szankcionáláshoz szükséges jogkörrel. Ezen információ hiányában pedig a hazai vállalatok felkészülési hajlandósága csökkent, amit csak tovább fokoztak az infotörvény ezekben a hetekben hatályba lépett változása körül terjedő dezinformációk.

Jogi partnerünk, dr. Varga Béla ügyvéd a változásokból két részt emelt ki. A módosítás kijelöli a NAIH-ot mint a rendelet alapján Magyarország joghatósága alá tartozó jogalanyok tekintetében illetékes hatóságot. Így – a május 25. és június 30. közötti hiátust követően – a NAIH a rendelet alapján eljárni jogosult. A másik lényeges elem, hogy a NAIH – a rendelet vonatkozó szabályainak megfelelően – hatásköreit az arányosság elvének figyelembevételével gyakorolja, és a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. Amennyiben az elsősorban alkalmazandó figyelmeztetés nem lenne célravezető, akkor alkalmaz adatvédelmi bírság szankciót.

Ezt értelmezte félre több cikk és nyilatkozat aszerint, mintha ez mentességet biztosítana a hazai kkv-érának – ami nem fedi a valóságot. A legtöbb tanácsadásunk elején azt tapasztaljuk, hogy a kisvállalati réteg biztos benne, hogy nem számíthatnak retorzióra. Ez persze komoly veszélyeket rejt, hiszen egy esetleges ellenőrzés folyamán így nem rendelkeznek még egy elkezdett felkészülés biztosította enyhítő körülményekkel sem.

Felkészülési folyamat

A felkészülés kézzel fogható eredménye a dokumentáció, viszont az már közel sem mindegy, mi szerepel benne. Három fő csoportra oszthatjuk ezeket az iratokat, amelyeket a felkészülés fázisaival egybekötve érdemes összeállítani.

Elsőként a nyilvántartások jelentik a GDPR által felépített információbiztonság-irányítási rendszer alapját. Ebben foglaljuk össze például, hogy milyen személyes adatokat kezel a cégünk, ezeket milyen jogalapon, milyen céllal, milyen biztonsági intézkedések mellett, milyen adatfeldolgozók bevonásával teszi. A jelenlegi adatkezelésünket felmérve és annak jogos mivoltát megvizsgálva kapjuk az adatvagyon nyilvántartását, amely egyedi és a legfontosabb dokumentuma a felkészülésnek.

Ezt követően tudjuk felmérni a folyamataink biztonsági szintjét és az esetleges védelmi réseket, a kezelt adatok kockázatával arányosítva. A felmérés értékelésének eredményeképpen születik meg a rendelet által megkövetelt második dokumentációtípus, az információbiztonsági szabályzat, amely kitér az elektronikus és papíralapú iratkezelésre egyaránt. Célja rögzíteni azon biztonsági intézkedéseket, amelyek nyomán az adatállományunk bizalmas és sértetlen lesz, valamint minden esetben rendelkezésünkre áll.

Ezen kötelezettségvállalás adja az alapját a felkészülés legismertebb dokumentációinak, a tájékoztatóknak. Ezek hivatottak bemutatni az érintettek számára cégünk nyilvántartott, rendszerezett és védett adatkezelési szokásait. Bár a rendelet a legnagyobb hangsúlyt az érintettek tájékoztatására és jogaira fekteti, ez hiteles formában nem jöhet létre az ezt megelőző két lépés megtétele nélkül. Ez okozza azt például, hogy az iratminták megfelelő tevékenységre igazítás nélkül ellenőrzés esetén nem biztosítanak sokkal nagyobb védelmet a bírság ellen, mintha A Gyűrűk Ura trilógiát nyújtanánk át az érkező ellenőröknek.

Az IM Mentoring tapasztalatai alapján a fent felsoroltakból épül fel egy felkészítés szükséges háttere. Ennek figyelembevételével a rendelet nem csupán egy újabb terhet jelent, hanem tényleges haszonnal bírhat egy cég életében. Mi sem bizonyítja ezt jobban, mint az, hogy a rendelet megalkotásakor a tényleges védelem meghatározásának alapjául az ISO/IEC27000 szabványcsalád szolgált, amelynek kiépítése jelentős fejlődést jelent, egy vállalat érzékeny adatainak védelmére nézve.

Bátyi Zsolt hozzátette: jelenleg a piacon a kkv-k számára is számos lehetőség érhető el a felkészülésre, ám rendkívül sokszínű a felkészítést ígérő cégek piaca és a kínált szolgáltatások tárháza. Ezek a már 30–40 ezer forintos iratmintáktól egészen a több millió forintos projektekig megjelennek, viszont a tapasztalatok azt mutatják: itt is az arany középút a követendő. Az IM Mentoring tanácsadócég azt javasolja minden cégvezetőnek, hogy körültekintéssel válasszon szakértőt megfelelésének támogatásához, hiszen a GDPR bevezetése a mindennapi cégműködést akadályozó tényező helyett lehet akár az átláthatóságot és az üzletmenet folytonosságát támogató fejlesztés is.

 

HAZAI HÁTTÉR

2011. évi CXII. törvény (infotörvény) az információs önrendelkezési jogról és az információ szabadságról
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
2016. április 26.: hatályba lép a GDPR
2018. május 25.: lejár a kétéves türelmi idő
2018. június 20.: megszavazzák az infotörvény módosítását
2018. június 30.: hatályba lép a módosítás

 

CÉGNÉVJEGY

Az IM Mentoring elsődleges szándéka olyan független tanácsadók alkalmazása, akik tájékozottan képviselik az információbiztonságot mind a jogi, mind az informatikai és a fizikai biztonság szempontjából. Minthogy mindent tudó szakember nem létezik, aktív szakmai kapcsolatot ápolnak tapasztalt IT-üzemeltető és -fejlesztő cégekkel, valamint gyakorlott adatvédelmi szakjogász team segíti munkájukat.

További információ: www.immentoring.hu