Ismerik azt a viccet, amikor két juhász beszélget? – Egy jó GDPR szakemberre lenne szükségem. Nincs véletlenül ilyen ismerősöd? – kérdi az egyik. – Dehogynem – válaszolja a kérdezett. – És megadnád a telefonszámát? – faggatja tovább az első. Mire a társa: – Tudod jól, hogy nem adhatom ki az elérhetőségét, tiltja a GDPR!
Nos, ha már vicc is született az uniós adatkezelési szabályzásról, az annyit biztosan jelez, hogy a társadalmat nagyon is érintő kérdéssel állunk szemben. Mire cikkünk megjelenik, már élesedett a május 25-én életbe lépő adatvédelmi rendelet. Szegő Vilmost, az Idesol Kft. információbiztonsági és GDPR vezető tanácsadóját arra kértük, segítsen olvasóinknak vállalkozásukban legalább a minimális megfelelést elérni.
– Az utóbbi időben minden a GDPR-ról szólt. Volt, aki a jogi vonatkozását, más inkább az IT szerepét emelte ki. Most akkor a rendelet jogi vagy inkább informatikai kérdés?
A megfelelő GDPR kialakításához három terület: a jogi, az informatikai és az üzleti folyamatok összehangolása szükséges. Bár mindhárom külön-külön is fontos szerepet játszik, a GDPR-t nem lehet egyetlen körre leszűkíteni.
– Azt is sok helyen lehetett hallani/olvasni, hogy mivel az uniós szabályzásnak nincsen meg a „honosított” megfelelője, tulajdonképpen érdemes kivárni. Vagyis nincs dolgunk a rettegett négy betűvel. Igaz ez?
A GDPR európai rendelet, amelyet nem szükséges az egyes tagországoknak ratifikálni, hiszen 25-étől az Európai Unióban automatikusan életbe lép – függetlenül attól, hogy az adott nemzet jogalkotói foglalkoztak-e a kérdéssel vagy sem. Mivel az uniós rendelet a nemzeti jogszabályoknál magasabb szintű, a jogértelmezés során elsősorban az előbbi látásmódja érvényesül majd.
Fontos megjegyezni, hogy a 2011-től hatályos magyar info törvény (hivatalos nevén: a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) már részben szabályozza ezt a területet, és ennek előírásai csaknem olyan szigorúak, mint a GDPR. Ha az info törvényben foglaltaknak eleget tettek volna a magyar vállalkozások, most nem lenne kapkodás. Igaz, a jelenlegi állapotok kialakulásában nagy szerepe van annak, hogy a törvény betartását nem ellenőrizték elég szigorúan, a büntetések pedig nem voltak elég elrettentőek ahhoz, hogy jogkövető magatartásra ösztönözze az érintetteket.
– Aki most kezd el „tüzet oltani” már elkésett. Ettől függetlenül szinte biztosan vannak olyanok, akik még nagyon messze vannak attól, hogy megfeleljenek az életbe lépett normának. A „későn ébredőknek” mit kell tenniük, hogy legalább alapszinten teljesítsék az elvárásokat?
A legfontosabb a nyilvánosság számára látható felületek GDPR kompatibilissé tétele. Például a honlapon adatkezelési tájékoztatót kell elhelyezni és amennyiben adatkezelést végez a vállalkozás, mondjuk, rendszeresen hírlevelet küld ki a feliratkozottaknak, az érintettek szabályszerű hozzájárulását is meg kell szereznie. Fontos, hogy azt a látogatót, aki hozzájárul az adatai felhasználásoz, aktív cselekvésre kell késztetnünk (egy négyzet kipipálása, beikszelése). Nem elég, ha a formon előre kitöltjük helyette a „hozzájárulok” mezőt! Ha ehhez nincsenek meg a technikai feltételek, akkor érdemes pár napra kikapcsolni a weblapon ezt a funkciót.
– Ezek a teendők leginkább a személyiségi jogi kérdéskört érintik. Mi a helyzet az információbiztonsággal?
Az információbiztonsági intézkedések szerepe felértékelődik a jövőben. Az információbiztonsági incidensek az esetek túlnyomó többségben adatvédelmi incidensek is, amelyek sokkal súlyosabb megítélés alá esnek május 25-e után. Adott esetben komoly büntetésre számíthat az a cég, amelynek feltörik a weblapját és az ott szereplő adatokat letöltik. És ez még akkor is így van, ha tudjuk, hogy a hacker-támadás önmagában illegális tevékenység!
A korábbiaknál sokkal nagyobb hangsúly kerül a védelmi óvintézkedésekre és a jogalkalmazó is szigorúbban büntet, ha azt látja: semmilyen megelőző intézkedést nem tett a vállalkozás annak érdekében, hogy az adatai ne kerüljenek illetéktelen kezekbe.
– A GDPR-ral kapcsolatban az egyik legtöbbet emlegetett szó a kockázat.
A kockázat ma már nemcsak arról szól, hogy visszaélhetnek az általunk kezelt adatokkal, hanem arról is, hogy a rendelet igen szigorúan szankcionálja az elővigyázatlanságot. A büntetési tételeket elnézve (a felső határ 20 millió euró, ami átszámítva kb. 6 milliárd forint), egy hibába akár bele is roppanhat a nem elég körültekintő vállalkozás. És bár sokunknak ez irgalmatlanul nagy összegnek tűnik, az európai jogalkotó a szankciók esetén is egységes megítélésre törekszik. Azaz egy magyar vállalkozás (közel) ugyanannyi büntetést kaphat, mint egy német vagy egy francia…
– Nagy kérdés, hogy egy kis- vagy még inkább egy mikrovállalkozásra ugyanazok a szabályok vonatkoznak-e, mint egy tőkeerős és megfelelő infrastruktúrával rendelkező multira?
A kisebb gazdasági társaságok jellemzően kisebb online aktivitást fejtenek ki, de rájuk is ugyanúgy vonatkoznak a szabályok, mint a „mamutokra”. A legnagyobb kockázattal a B2C-ben tevékenykedő, azaz magánszemélyeket célzó értékesítési tevékenységet folytató vállalkozásoknak – tipikusan ilyenek a webshopok vagy a rendszeresen nagyszámú marketing hírlevelet kiküldő cégek – kell számolniuk. Az adatkezelési hozzájárulás itt is alap, de lehetőséget kell biztosítani arra is, hogy hozzájárulását a feliratkozó a későbbiekben visszavonhassa.
– Ha az adott vállalatnak már van ISO 27001-e, azaz tanúsított információbiztonsági irányítási rendszere, van-e még tennivalója az ügyben?
Az ISO 27001 egy kiváló bázis. Azt igazolja, hogy a kérdéses vállalkozás magáévá tette azt a szemléletet, amely a szabályzás, kontroll, rendszeres ellenőrzés, működtetés, korrigálás ötösfogatára épül. A tanúsított vállalkozásoknál igazoltan működnek az infobiztonsági kontrollok, vagyis csökken az informatikai okból bekövetkező hiba valószínűsége.
Új elemként – illetve a korábbiaknál hangsúlyosabb elemként – jelent meg a személyes adatok kezelésének kockázata. Most nagyobb körültekintést igényel a vállalatok részéről az úgynevezett távoli hozzáférés (az otthonról dolgozó kollégák adatkezelési) szabályozása. Ugyanakkor szintén ennek a témakörnek a sarkalatos pontja az adatokhoz való hozzáférés, vagyis csak az érintkezzen a személyes adatokkal, akinek feltétlenül szükséges.
– Talán ezzel kellett volna kezdenem: végül is kinek a felelőssége, hogy az adott vállalkozás a GDPR tekintetében szabályszerűen működjön?
Amelyik területnek nincs gazdája, ott előbb-utóbb felüti a fejét a baj! Cégmérettől függetlenül érdemes adatvédelmi felelőst választani, aki felelősséggel tartozik az adatkezelésért és elszámoltatható. Ez a személy lehetőség szerint az üzleti folyamatokat ismerő üzleti vezető legyen, kisebb cégeknél az ügyvezető, esetleg jogász, de ne bízzuk ezt a feladatot az informatikusra. Az adatvédelmet folyamatosan fenn kell tartani, ennek érdekében teszteljünk, auditáljunk, tartsunk oktatásokat a témában és persze, ellenőrizzünk.
