A hazánkban működő szervezetek jelenleg is az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény) szabályozása értelmében kezelhetnek személyes adatokat. Az Európai Unió által kihirdetett és 2018 májusától hatályos új, egységes adatvédelmi szabályozás (GDPR – General Data Protection Regulation) bevezetése ezek után rutin feladatnak tűnhet, ám mégsem az. A törvényben foglaltak értelmezése, bevezetése és alkalmazása, valamint az egyre növekvő adminisztratív teher komoly kihívás elé állítja a cégeket. Ezért a KÜRT Zrt. információbiztonsági szakértői olyan megoldást dolgoztak ki, amelynek fő feladata a szervezetek adatvédelmi kockázatainak minimalizálása, az érintettek biztonságos és hatékony szervezeti működésének kialakítása, továbbá felkészítése az uniós és hazai jogszabályoknak való megfelelésre.

Súlyos következmények

A felkészülés alapja a tudatos stratégiai tervezés és a jelenleg fennálló adatkezelési állapotok tisztánlátása. A szervezeten belül először a vezetőknek és döntéshozóknak kell tisztában lenniük azzal, hogy az Infotörvényhez képest a GDPR-ral nem a követelmények, hanem a helytelen adatkezelésből származó kockázatok változnak meg jelentősen. A büntetési tételek 20 millió forintról 20 millió euróra, vagy az éves árbevétel 4%-ára változnak, attól függően, melyik a nagyobb tétel! Tudatosan kell megtervezni az átállást, figyelembe véve annak esetleges, ám lényegesen nagyobb tételű anyagi vonzatait is.

Meg kell határozni, hogy a GDPR pontosan mely üzleti és biztonsági folyamatokat, informatikai rendszereket, szabályozási és szerződéses területeket érinti a szervezeten belül, és a változásokra fel kell készíteni az alkalmazottakat. Felül kell vizsgálni többek között a működési folyamatokat, a hozzájárulási nyilatkozatokat, adatvédelmi tájékoztatókat, a szerződéseket. Ezenkívül pedig az adatkezelésben érintett informatikai rendszereket is ellenőrizni kell, hogy funkcionalitásban és biztonsági szempontból megfelelnek-e az elvárásoknak.

A személyes adatok köre – A jogszabályi megfogalmazás szerint (GDPR 4. cikk 1-es pont.) minden személyes adat, ami „azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ”. Hogy ez pontosan mit jelent, a következő táblázat bemutat néhány példát:

Személyes adatok és azok kezelői – Fontos, hogy a dolgozók tudatosan kezeljenek és továbbítsanak személyes adatokat. A KÜRT adatvédelmi helyzetfelmérés-megoldáscsomagja (kompetencia központ) segít a szervezeteknek pontos képet alkotni az általuk kezelt személyes adatok köréről, az adatvédelmi állapotról, valamint az elvárt, illetve javasolt adatvédelmi követelményekről és védelmi intézkedésekről.

A helyzetfelmérés segít átláthatóvá tenni a jelenlegi adatkezelési szokásokat, valamint a jogszabályi megfeleléshez szükséges intézkedéseket. A KÜRT szakértői szerint még a legfelkészültebb cégek esetében is fontos külső szemmel feltérképezni a kezelt személyes adatok körét, a kapcsolódó üzleti folyamatokat, valamint az informatikai hátteret. Ennek a követelményrendszernek a témacsoportosítását az alábbi táblázat szemlélteti:

Átlátható adminisztráció – A törvény megköveteli az adatkezelés, a továbbítás és a törlés pontos dokumentálását. A növekvő adminisztratív terhek rengeteg értékes időt vonnak el az erőforrásoktól, olykor többletköltséget generálva a szervezet számára. A KÜRT saját fejlesztésű IT GRC rendszere, a SeCube támogatja a személyes adatkörök és adatkezelési műveletek nyilvántartását, a GDPR-megfelelőségi audit lefolytatását, az eltérésekre intézkedési terv kidolgozását, valamint szükség esetén adatbiztonsági és adatvédelmi hatásvizsgálat végrehajtását.