Egyre csak közeledik a nap: hogyan készüljön fel egy vállalkozás a GDPR-helyzetre?

A helyzet tulajdonképpen egy dátum, 2018. május 25-a, ekkorra minden szervezetnek, vállalkozásnak meg kell felelnie a GDPR elvárásainak. De mik is ezek az elvárások? Az Adalon Solutions kézenfekvő GDPR kisokosában erre adunk neked választ.

A szankciók és büntetések a megadott nap után fognak életbe lépni, illetve a NAIH a felé történő bejelentéseket-incidenseket is ezután kezdi majd el kivizsgálni. A NAIH azonban nem magától fog vizsgálatokat kezdeményezni, jelenlegi ismereteink szerint csak és kizárólag bejelentések alapján fognak vizsgálatot indítani. Kivételt képezhetnek olyan esetek, ha a sajtóból vagy egyéb nyilvános forrásból értesülnek adatszivárgásról, amiben személyes adatok kompromittálódtak, ez esetben hivatalból kötelesek lefolytatni vizsgálatot.

Szóval mit is kellene tenned ahhoz, hogy megfelelj ennek a rendeletnek?

Szervezeti szinten a GDPR-ra való felkészülés egyik legfontosabb lépcsőfoka egy kockázatelemzés elkészítése. Az alkalmazott adatbiztonsági intézkedéseknek, adatbiztonsági szinteknek a felmért adatkezelési kockázatokhoz kell igazodnia. A megfelelő adatbiztonsági szint kiválasztásához több tényezőt kell megvizsgálni.

  • A tudomány és a technológia állása: gondoskodnod kell az adatok integritásáról és hozzáférhetőségéről a jelenlegi legelfogadottabb és legjobb üzleti modellek, technológiák alkalmazásával.
  • A megvalósítás költségei: mennyibe is fog ez a cégednek kerülni? Változó.  Költséghatékonyságot szem előtt kell tartani, mert egy éves szinten 50 milliós árbevételt elérő vállalkozásnak nem feltétlenül szükséges 300 millió forint értékű szoftvert, hardvert megvennie.
  • Az adatkezelés jellege, hatóköre, körülményei és céljai: fontos felmérni a kezelt adatok körét, milyenségét. Miért van szükséged ezekre az adatokra, meddig tartod meg őket, kivel osztod meg, hova kerülnek stb.
  • Az érintettek jogaira jelentett kockázat mértéke: milyen hátrány érheti az adattulajdonost abban az esetben, ha az általunk kezelt adatok sérülnek, illetéktelen kezekbe kerülnek.

Nem utolsó a kezelt adatok véletlen, vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából, jogosulatlan hozzáféréséből eredő kockázatok sora sem –  azt hiszem, ez magáért beszél.

A GDPR szintjei: menedzsment és szervezet

A szervezeten belüli változások túlnyomó részt a vezetőségtől indulnak lefele, a többi szint felé. A GDPR-ra való felkészülést is erről a szintről célszerű megkezdeni, az alábbi intézkedések kialakítása és végrehajtása lehet szükséges:

  1. Adatbiztonsági kultúra és tudatosság felépítése: folyamatok azonosítása, szabályozók kidolgozása, munkavállalók oktatása, adatvédelmi felelős kinevezése (ha szükséges).
  2. Az adatbiztonságért felelős részleg/személy kijelölése  szervezeten belül, felruházása a szükséges hatáskörrel, jelentési kötelezettséggel, hozzáféréssel; adatbiztonsági szabályzatok elkészítése, frissítése, oktatás szervezése, megfelelőség ellenőrzése; biztonsági incidensek felderítése; együttműködés az IT-beszerzéssel, üzemeltetéssel, fejlesztéssel.
  3. Kötelező adatbiztonsági szabályzat elkészítése az alkalmazottaknak – a legcélravezetőbb ezt a munkaszerződés kötelező mellékletévé tenni.

Ezzel párhuzamosan az IT biztonság jelenlegi helyzetét is meg kell vizsgálni, át kell alakítani, ha eddig nem volt, ki kell alakítani az alábbi szempontok figyelembevételével:

  • igazodnia kell a szervezet méretéhez és rendszeréhez;
  • technológiai fejlesztéseket követni kell, de figyelembe vehetők annak költségei is;
  • a munkavégzés, működés jellegéhez igazodnia kell (pl.: home office esetén külön szabályok);
  • a kezelt adatok jellegéhez, mennyiségéhez igazodni kell (pl.: pénzügyi / bankkártya adatok);
  • magatartási kódexnek, tanúsítványnak való megfelelés segít a megfelelő IT biztonság igazolásában.

Az adatkezelő kötelezettségei a legsokrétűbbek, hiszen az adatkezelés sok tevékenységet foglal magába: minden személyes adatokon végzett cselekményt (adatok felvétele, gyűjtése, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását), meghatározza az adatkezelés célját, dönt azok sorsáról. Éppen ezért fontos az adatkezelő feladatait is „górcső alá venni”. Nem szabad elfeledkezned, a fizikai adatbiztonság kérdéséről sem. Az alábbi állapotokat lenne szükséges felmérni: nyílászárók minősége, biztonsága; riasztós, vagy egyéb védelem; kamerás megfigyelőrendszer; biztonsági világítás; belépési, látogatási szabályok; látogatók felügyelete; papírhulladék kezelése; hordozható eszközök biztonsága.

Mik a főbb teendők?

Milyen technológiát alkalmaz a vállalkozás, hogy az adatok eltulajdonítása esetén az adattulajdonos személye ne lehessen beazonosítható? A főbb teendők egyike az adatkezelési rendszerek bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége – a kérdés, hogy elég biztonságosak-e a rendszerek, illetve az adatvesztések elkerülése érdekében milyen lépéseket tett a vállalkozás / szervezet, hogy védi a saját rendszereit illetéktelen behatolóktól.

Incidens esetén szükséges a gyors hozzáférés és a visszaállítás biztosítása, azaz a biztonsági mentések készítése (meghatározni, hogy ez milyen időközönként szükséges), valamint a szolgáltatás kiesés esetén annak elhárítására tett intézkedések. Az intézkedések hatékonyságának rendszeres tesztelése, felmérése, értékelése és az ezekre vonatkozó eljárások kidolgozása (vonatkozó szabályozások elkészítése, rendszeres időközönkénti felülvizsgálata, amennyiben szükséges módosítása).

Nem szabad megfeledkezni az adatokhoz hozzáférő alkalmazottak hozzáférésének szabályozásáról sem, ide tartozik a jogosultsági szintek meghatározása és a személyes munkaállomások védelme (pl. képernyő zárolása, meghajtók titkosítása). Gyorsan megjegyzem, hogy nem szükséges az összes alkalmazottnak minden adathoz hozzáférést biztosítani, csak azokhoz, amik feltétlenül szükségesek a feladataik ellátáshoz.

Ha már a menedzsment szintjén is megtörténtek a megfelelő intézkedések a következő szint a munkavállalók / alkalmazotti szint, ahol az alábbi fő intézkedéseket kell lefedni:

Kötelező adatbiztonsági szabályzat bevezetése, elfogadtatása a személyzettel, tehát a folyamatok felmérése, beérkező adatok rendszerezése, áttekintése abból a szempontból, hogy mire is van szükség. Az adatvédelmi biztonsági tudatossága növelhető képzésekkel, bemutató és ismétlődő GDPR oktatásokkal (a személyzet felelősségére az adatvédelemmel kapcsolatban, szankciók, büntetőjogi következmények, IT eszközökkel kapcsolatos technikai adatvédelmi, IT biztonsági intézkedések, korlátozások, adatok kiszivárgásainak lehetséges eseteire és a megfelelő védekezésre). Mivel az IT biztonság terén kijelenthető, hogy adatszivárgás, adatvesztés az esetek 90%-ban a felhasználó nem megfelelő magatartása, nemtörődömsége miatt történik, ezért látható az a törekvés a GDPR esetében is, hogy hangsúlyt helyez a megfelelő eljárások kialakítására és az alkalmazottak folyamatos oktatására, képzésére. A megfelelő eljárások folyamatos karbantartása és ezek oktatására egyaránt.

Ha még bármi kérdésed maradt, elolvashatod Mylo kollégánk kétrészes cikksorozatát, amelyekben részletesen bemutatja és körbejárja a GDPR témát. Több kérdésed van, segítségre van szükséged? Várjuk a megkeresésed!

 

Felhasznált irodalom:

https://sarandpartners.hu/eloadas/adatbiztonsag-es-gdpr-feljunk-e-tole/

https://blog.crosssec.com/az-emberi-tenyezo-ara-social-engineering

Írta:  Péter