ÚJRASZABÁLYOZOTT ÉS EGYSÉGES UNIÓS ADATVÉDELEM: GDPR
2018. május 25-től kell alkalmazni a 2016. április 27-én az Európai Parlament és a Tanács által megalkotott 2016/679 rendeletet, a GDPR-t (General Data Protection Regulation), amely az 1995-től hatályos Adatvédelmi Irányelvet váltja. A GDPR a jogalkotók reményei szerint rendszerezettebb, átláthatóbb és a mai információs technológiáknak megfelelőbb szabályozási keretrendszert biztosít a természetes személyeknek a személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról.
A GDPR 4 éven át készült, tavalyi elfogadását követően pedig 2 éve maradt a tagállamoknak a felkészülésre és a megfelelő alkalmazási környezet kialakítására. Ehhez a rendelet jelenleg már az EU összes hivatalos nyelvén elérhető és megismerhető. A GDPR alappillére, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg, így a szabályozás elsődlegesen a vállalkozások számára jelent majd kihívást, adatkezelésük tekintetében. A rendelet minden aspektussal számol, így alkalmazása kiterjed a felhőszolgáltatásokra, a határokon átnyúló adatkezelésre és az EU-n kívüli adatmigrációra is.A rendelet nagyon fontos eleme, hogy megfelelő szintű és közérthető tájékoztatást ír elő a felhasználók/ügyfelek tekintetében, ez a szigorú szabályozás véget vethet például olyan torzulásoknak, amikor egy szerződés aláírásával kötelezően elfogadjuk adataink marketingcélú felhasználását, vagy például, amikor egy weblapon történő regisztrációnál, előre kipipált check-bokszot találunk az adatkezelésünkkel kapcsolatosan. Az adatkezeléshez a jövőben világos hozzájárulás szükséges, 16 éven aluli gyerekek esetében a szülőtől is. Minden felhasználónak joga lesz a személyes adatai töröltetéséhez, ha már nem kívánja használni az adott szolgáltatást. Az adathordozhatóságot a jövőben pedig olyan formában kell majd megoldani, hogy azt egy másik szolgáltatóhoz, mindenféle átalakítgatás nélkül, át lehessen vinni. De szabályozás alá kerül az értesülés joga is, vagyis adatvédelmi incidenseknél, például hekkertámadások estén a cégeknek értesíteniük kell az őket felügyelő adatvédelmi hatóságot is.
• a személyes adatok elfeledtetéséhez való jog;
• az érintett fél hozzájárulásával kapcsolatos követelmények adatvédelmi hatásvizsgálata;
• adatvédelmi tisztviselő kijelölése;
• adattovábbítási korlátozástok EU-n kívüli országokba;
• adatvédelmi incidens jelentése;
• kártérítés és bírságok (20 millió euróig vagy a vállalkozás globális árbevételének 4%-a).
NEMZETI SZINTŰ SZABÁLYOZÁS, DE EU-S FELÜLVIZSGÁLATI RENDSZER
A hazai könyvvizsgáló cég, a PwC Magyarország egy zártkörű konferencián tárgyalta a szabályozás bevezetéséhez szükséges legfontosabb lépéseket. A rendezvény egyik előadója Dr. Péterfalvi Attila, korábbi adatvédelmi biztos, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke volt. Péterfalvi Attila kitért rá: a cégeknek – amennyiben adatkezelőnek minősülnek – legelőször fel kell mérniük, hogy mennyiben felelnek meg a rendeletnek. Tisztázniuk kell, hogy milyen adatokat kezelnek, és milyen módon teszik azt. Jelenleg ebből a szempontból a kkv-k és a mikrovállalkozások vannak a legrosszabb helyzetben, hiszen például aki egy webáruházat működtet, és otthonról is dolgozik, feltehetően jóval kevesebbet fordít az adatbiztonságra az előírtnál. Sokszor még a minimális kritériumok – vírusölő, tűzfal – is hiányoznak. Ezeknek a cégeknek ugyanúgy kötelező lesz, egy adatvédelmi incidens esetén, értesíteni a hatóságot (NAIH) és az érintetteket. A cégek adatvédelmi és adatkezelési struktúrája mellett a jövőben a versenytisztességet és a kielégítő ügyfél-tájékoztatást is vizsgálni fogják. A rendelet preambuluma tartalmazza például az elektronikus adatkezelésnél a jövőben használatos piktogramokat, hiszen a hosszú tájékoztatót senki nem olvassa végig. Az új kikötés, hogy a tájékoztatást egyszerű és közérthető formában, könnyen hozzáférhetően kell tálalni. Ennek része lesz egy egységes piktogramkészlet is, amellyel a szövegnél szembetűnőbben is jelezni kell majd a cégeknek az adatkezelési gyakorlatuk főbb jellemzőit.Péterfalvi Attila kitért rá, hogy a GDPR tisztáz egy eddig bizonytalan területet is, ez pedig a hangfelvételek rendelkezésre bocsájtása. A jövőben, ha egy beszélgetést az adott cég rögzít, annak jogvita, illetve az érintett kérése esetén nem leiratát, hanem a beszélgetés teljes hanganyagát rendelkezésre kell bocsájtania.Az ellenőrzés és a szabályozás a jövőben több szinten mehet végbe. A nemzeti hatóságok felett az Európai Adatvédelmi Testület (European Data Protection Board) áll majd, jogviták esetén pedig az Európai Bizottság is döntést hozhat. Az Európai Adatvédelmi Testület emellett elindít egy platformot, amelyen az uniós tagállami hatóságok egyeztethetnek egyes adatvédelmi kérdésekről, így például egy bírság kiszabásának mértékéről, precedensek kérdéseiről. Ez az úgynevezett kölcsönös segítségnyújtás elve szerint kerül kialakításra. Péterfalvi Attila kitért rá, hogy olyan esetekben, amikor egy határon átnyúló adatkezelésből adódik jogvita, az eljárást minden esetben fel kell ajánlani az anyacég nemzeti hatóságának lefolytatásra. Az ebből készült tervezetet aztán a leányvállalat országa véleményezheti, ám ha nem ért vele egyet, és elmarad a megegyezés, úgy a Board hoz kötelező érvényű döntést – a hivatalos kommunikáció egyébként minden tagállam esetében angol nyelven történik. A kiszabható bírság maximuma 20 millió euró, vagy vállalatok esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg (amelyik magasabb). Kevésbé lényeges rendelkezések megsértése esetén a fizetendő közigazgatási bírság maximuma a jövőben 10 millió euró, vagy vállalatok esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeg lehet. Péterfalvi Attila elmondta, hogy a GDPR nem terjed ki mindenre: míg a hazai infótörvény alá 3 terület tartozik (ezek az adatvédelem, az infószabadság – mely utóbbiban a hatóságnak csak vizsgálati jogköre van – és a titokfelügyelet), addig a GDPR csak az adatvédelmet szabályozza. A közérdekből nyilvános személyes adatok kezelése az Európai Hatóság jogkörébe tartozik, jövő májustól pedig alkalmazni kell a bűnügyi irányelvet és az e-Privacy kérdéseket is – ez utóbbi idehaza jelenleg a Nemzeti Hírközlési Hatóság (NMHH) alá tartozik, de az egységesítés miatt az NAIH alá kerül majd át. A NAIH egyébként 40 fővel bővíti létszámát, és már most tanácsokkal látja el a készülő hazai általános elektronikus közigazgatási rendeletet előkészítő bizottság munkáját.
STRATÉGIA, TISZTSÉGVISELŐ ÉS ÖNÁLLÓ PROJEKT IS KELL AZ ÁTÁLLÁSHOZ
A PwC Magyarország konferenciáján szó volt azokról a különböző stratégiai irányokról, amelyeket a cégek adatkezelési kultúrájuk átalakításához választhatnak. Dönthetnek amellett, hogy egyszerűen felkészülnek a rendelkezés által előírt irányelvek betartására, de kialakíthatnak saját adatvagyon-stratégiát is. Bárhogy is döntsenek, a több szakterületet is érintő átállás megvalósításához érdemes önálló projektet indítaniuk. Sok cég számára kötelező az adatvédelmi tisztviselő kinevezése, de ahol ez nem előírás, hiszen az adatkezelés minősége ezt nem igényli, akkor is érdemes egy képviselőt delegálni a feladat koordinálására. Az előadó szakemberek egyöntetűen hangsúlyozták a dolgozóknak nyújtandó megfelelő minőségű adatvédelmi oktatás szükségét és szükség esetén a belső szabályozás, esetleg a munkaszerződés átalakítását is, amennyiben a munkavégzés adatokhoz kapcsolódik, és ezt igényli.
Azonosított vagy azonosítható, természetes személyre vonatkozó bármilyen információ. Idetartozik minden olyan adat, amely alapján valaki beazonosítható. Minden jogi személyre egyöntetűen vonatkozik, de nem terjed ki az elérhetőségre (ún. contact details – kapcsolattartási adatok), és amennyiben bármilyen információt érint, vagyis ha egy szerződésben például személyes adatok szerepelnek, úgy a teljes szerződés személyes adatnak minősül.
Származtatott adat: a cég ügyfele vásárlási adataiból következteti ki anyagi helyzetét.Prognosztizált adat: a cég ügyfelei meglévő, személyes adataiból esélyek, valószínűségek számbavételét végezve, következtetéseket von le.
A MUNKAVÁLLÓ AZ ELSŐSZÁMÚ TÁMADÓ
Az Open Web Application Security Project (OWASP) egy nyílt forráskódú webes alkalmazások sérülékenységét vizsgáló szervezet, amely évente ad ki statisztikát a támadási területekről. Ebből az derül ki, hogy a webes alkalmazásokban leggyakrabban ugyanaz az 5 támadási forma észlelhető, ezek közül is a leggyakoribb az SQL injection támadás, amellyel a teljes adatbázis ellophatóvá válik. Ugyanakkor az OWASP által vizsgált 64 támadási típus mindegyikére létezik hathatós megoldás, így ezek megelőzhetőek.A GDPR előírja a munkatársak felkészítését és az adatkultúra fejlesztését, amelynek hasznát a Cisco egyik felmérése is igazolta: 2016 október-novemberében megemelkedett a vállalati e-mailekre küldött rosszindulatú kódot tartalmazó spamek száma, az év végére elérte a 80%-os szintet, vagyis a támadók a felhasználó-sérülékenységre építették fel stratégiájukat. Az adatvédelmi oktatásoknak és tájékoztatásnak köszönhetően ez egy év múltával jelentősen lecsökkent, mert nem hozott eredményt. Az IT-szektoron túl az alapvető adatvédelmi szabályok betartása is szükséges, a szakértők szerint. Így például nagyon fontos, hogy a céges adatokat ne nyissuk meg a privát gépeinken, szerződéseket ne küldjünk ki e-mailekbe, és ne vigyük haza a privát gépünkre az irodai munkát, ahol a védelem csak csekély módon garantált. A privát fiókjainkat ne használjuk munkavégzésre, amennyiben adtakezelést is folytatunk rajtuk, márpedig szinte minden percben ezt tesszük, így ennek elkerülése erősen javallott. De ne posztoljunk közösségi oldalakra vállalati információkat, ne használjunk publikus számítógépeket munkavégzés céljából, és figyeljünk arra, hogy nyilvános helyen mások is láthatják, vagy akár meg is hallhatják azokat az információkat, amelyek magasabb adatbiztonságot igényelnének. Ha egy adatvédelmi esemény történik, például egy vírustámadás éri a szervereket, és sikeres adatlopás megy végbe, vagyis adatvédelmi incidens keletkezik, arról többirányú tájékoztatást szükséges tenni. Ha az adatfeldolgozót éri az incidens, bejelentési kötelezettsége van az adatkezelő felé, az adatkezelőnek pedig 72 órán belül jeleznie kell az incidenst a hatóságnak. De mi van olyankor, amikor se az adatfeldolgozó, se a kezelő nem is észleli az eseményt, rosszabb esetben az incidenst? Az ehhez szükséges protokoll kidolgozása, a káresemény felismerése és a reagálás is elengedhetetlenül fontos, a prevencióról, megelőzésről nem is beszélve. Amennyiben egy cég kiszervezéssel oldja meg akár az adatkezelését, akár a feldolgozást, fontos élnie az audit jogával, és rendszeresen megvizsgálnia a körülményeket és a munkavégzés milyenségét. A leggyakoribb adatlopások ráadásul a munkavállalói és az ügyféladatokat érinti, akiket szintén tájékoztatni kell az eseményekről, amennyiben adataik valóban veszélybe kerültek. A szakemberek szerint a megfelelő tájékoztatás, a valós tudással visszaigazolt adatvédelmi oktatás az első és egyik legfontosabb lépés, hiszen fontos látni, hogy a leggyakoribb veszélyforrás és elsőszámú támadó maga a munkavállaló, mert figyelmetlenségből vagy tudatlanságból adódóan adatokat szivárogtat.
A teljes cikket olvassa el a Business Class Magazin KÓDHATALOM című lapszámában!
Fizessen elő nyomtatott vagy digitális formában!