Last minute GDPR

Ismerik azt a viccet, amikor két juhász beszélget? – Egy jó GDPR szakemberre lenne szükségem. Nincs véletlenül ilyen ismerősöd? – kérdi az egyik. – Dehogynem – válaszolja a kérdezett. – És megadnád a telefonszámát? – faggatja tovább az első. Mire a társa: – Tudod jól, hogy nem adhatom ki az elérhetőségét, tiltja a GDPR!

Nos, ha már vicc is született az uniós adatkezelési szabályzásról, az annyit biztosan jelez, hogy a társadalmat nagyon is érintő kérdéssel állunk szemben. Mire cikkünk megjelenik, már élesedett a május 25-én életbe lépő adatvédelmi rendelet. Szegő Vilmost, az Idesol Kft. információbiztonsági és GDPR vezető tanácsadóját arra kértük, segítsen olvasóinknak vállalkozásukban legalább a minimális megfelelést elérni.

Az utóbbi időben minden a GDPR-ról szólt. Volt, aki a jogi vonatkozását, más inkább az IT szerepét emelte ki. Most akkor a rendelet jogi vagy inkább informatikai kérdés?

A megfelelő GDPR kialakításához három terület: a jogi, az informatikai és az üzleti folyamatok összehangolása szükséges. Bár mindhárom külön-külön is fontos szerepet játszik, a GDPR-t nem lehet egyetlen körre leszűkíteni.

Azt is sok helyen lehetett hallani/olvasni, hogy mivel az uniós szabályzásnak nincsen meg a „honosított” megfelelője, tulajdonképpen érdemes kivárni. Vagyis nincs dolgunk a rettegett négy betűvel. Igaz ez?

A GDPR európai rendelet, amelyet nem szükséges az egyes tagországoknak ratifikálni, hiszen 25-étől az Európai Unióban automatikusan életbe lép – függetlenül attól, hogy az adott nemzet jogalkotói foglalkoztak-e a kérdéssel vagy sem. Mivel az uniós rendelet a nemzeti jogszabályoknál magasabb szintű, a jogértelmezés során elsősorban az előbbi látásmódja érvényesül majd.

Fontos megjegyezni, hogy a 2011-től hatályos magyar info törvény (hivatalos nevén: a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) már részben szabályozza ezt a területet, és ennek előírásai csaknem olyan szigorúak, mint a GDPR. Ha az info törvényben foglaltaknak eleget tettek volna a magyar vállalkozások, most nem lenne kapkodás. Igaz, a jelenlegi állapotok kialakulásában nagy szerepe van annak, hogy a törvény betartását nem ellenőrizték elég szigorúan, a büntetések pedig nem voltak elég elrettentőek ahhoz, hogy jogkövető magatartásra ösztönözze az érintetteket.

Aki most kezd el „tüzet oltani” már elkésett. Ettől függetlenül szinte biztosan vannak olyanok, akik még nagyon messze vannak attól, hogy megfeleljenek az életbe lépett normának. A „későn ébredőknek” mit kell tenniük, hogy legalább alapszinten teljesítsék az elvárásokat?

A legfontosabb a nyilvánosság számára látható felületek GDPR kompatibilissé tétele. Például a honlapon adatkezelési tájékoztatót kell elhelyezni és amennyiben adatkezelést végez a vállalkozás, mondjuk, rendszeresen hírlevelet küld ki a feliratkozottaknak, az érintettek szabályszerű hozzájárulását is meg kell szereznie. Fontos, hogy azt a látogatót, aki hozzájárul az adatai felhasználásoz, aktív cselekvésre kell késztetnünk (egy négyzet kipipálása, beikszelése). Nem elég, ha a formon előre kitöltjük helyette a „hozzájárulok” mezőt! Ha ehhez nincsenek meg a technikai feltételek, akkor érdemes pár napra kikapcsolni a weblapon ezt a funkciót.

Ezek a teendők leginkább a személyiségi jogi kérdéskört érintik. Mi a helyzet az információbiztonsággal?

Az információbiztonsági intézkedések szerepe felértékelődik a jövőben. Az információbiztonsági incidensek az esetek túlnyomó többségben adatvédelmi incidensek is, amelyek sokkal súlyosabb megítélés alá esnek május 25-e után. Adott esetben komoly büntetésre számíthat az a cég, amelynek feltörik a weblapját és az ott szereplő adatokat letöltik. És ez még akkor is így van, ha tudjuk, hogy a hacker-támadás önmagában illegális tevékenység!

A korábbiaknál sokkal nagyobb hangsúly kerül a védelmi óvintézkedésekre és a jogalkalmazó is szigorúbban büntet, ha azt látja: semmilyen megelőző intézkedést nem tett a vállalkozás annak érdekében, hogy az adatai ne kerüljenek illetéktelen kezekbe.

A GDPR-ral kapcsolatban az egyik legtöbbet emlegetett szó a kockázat.

A kockázat ma már nemcsak arról szól, hogy visszaélhetnek az általunk kezelt adatokkal, hanem arról is, hogy a rendelet igen szigorúan szankcionálja az elővigyázatlanságot. A büntetési tételeket elnézve (a felső határ 20 millió euró, ami átszámítva kb. 6 milliárd forint), egy hibába akár bele is roppanhat a nem elég körültekintő vállalkozás. És bár sokunknak ez irgalmatlanul nagy összegnek tűnik, az európai jogalkotó a szankciók esetén is egységes megítélésre törekszik. Azaz egy magyar vállalkozás (közel) ugyanannyi büntetést kaphat, mint egy német vagy egy francia…

Nagy kérdés, hogy egy kis- vagy még inkább egy mikrovállalkozásra ugyanazok a szabályok vonatkoznak-e, mint egy tőkeerős és megfelelő infrastruktúrával rendelkező multira?

A kisebb gazdasági társaságok jellemzően kisebb online aktivitást fejtenek ki, de rájuk is ugyanúgy vonatkoznak a szabályok, mint a „mamutokra”. A legnagyobb kockázattal a B2C-ben tevékenykedő, azaz magánszemélyeket célzó értékesítési tevékenységet folytató vállalkozásoknak – tipikusan ilyenek a webshopok vagy a rendszeresen nagyszámú marketing hírlevelet kiküldő cégek – kell számolniuk. Az adatkezelési hozzájárulás itt is alap, de lehetőséget kell biztosítani arra is, hogy hozzájárulását a feliratkozó a későbbiekben visszavonhassa.

Ha az adott vállalatnak már van ISO 27001-e, azaz tanúsított információbiztonsági irányítási rendszere, van-e még tennivalója az ügyben?

Az ISO 27001 egy kiváló bázis. Azt igazolja, hogy a kérdéses vállalkozás magáévá tette azt a szemléletet, amely a szabályzás, kontroll, rendszeres ellenőrzés, működtetés, korrigálás ötösfogatára épül. A tanúsított vállalkozásoknál igazoltan működnek az infobiztonsági kontrollok, vagyis csökken az informatikai okból bekövetkező hiba valószínűsége.

Új elemként – illetve a korábbiaknál hangsúlyosabb elemként – jelent meg a személyes adatok kezelésének kockázata. Most nagyobb körültekintést igényel a vállalatok részéről az úgynevezett távoli hozzáférés (az otthonról dolgozó kollégák adatkezelési) szabályozása. Ugyanakkor szintén ennek a témakörnek a sarkalatos pontja az adatokhoz való hozzáférés, vagyis csak az érintkezzen a személyes adatokkal, akinek feltétlenül szükséges.

Talán ezzel kellett volna kezdenem: végül is kinek a felelőssége, hogy az adott vállalkozás a GDPR tekintetében szabályszerűen működjön?

Amelyik területnek nincs gazdája, ott előbb-utóbb felüti a fejét a baj! Cégmérettől függetlenül érdemes adatvédelmi felelőst választani, aki felelősséggel tartozik az adatkezelésért és elszámoltatható. Ez a személy lehetőség szerint az üzleti folyamatokat ismerő üzleti vezető legyen, kisebb cégeknél az ügyvezető, esetleg jogász, de ne bízzuk ezt a feladatot az informatikusra. Az adatvédelmet folyamatosan fenn kell tartani, ennek érdekében teszteljünk, auditáljunk, tartsunk oktatásokat a témában és persze, ellenőrizzünk.