Egy év múlva, 2018. május 25-én beindul a GDPR-nagyüzem (General Data Protection Regulation), azaz életbe lép az Európai Unió egységes adatvédelmi rendelete. Tavaly a Bitport is kiemelten, cikksorozatban foglalkozott a teendőkkel. Teendőkből azonban maradt bőven.

A Gartner meglehetősen lesújtó képet fest a vállalatok felkészültségi szintjéről: egy közelmúltban kiadott jelentése azt prognosztizálja, hogy 2018 végéig az érintett szervezetek fele nem fog megfelelni az új előírásoknak. A rendelet egyébként közel sem csak európai vállalatok érint, hatálya kiterjed minden olyan EU-n kívüli cégre is, amely uniós polgárok adatait kezeli.

De mit kell tenni a megfeleléshez?

Ellentmondásos helyzetek

A Balabit szakértője, Krasznay Csaba a MySec GDPR-nek szentelt konferenciáján a helyzet ellentmondásosságára világított rá. Egyfelől a rendelet azért született, hogy a személyes adatok védelme minden eddiginél nagyobb védelmet kapjon, és ehhez rendkívül sok technológiát, eszközt kell bevetni. Folyamatosan megfigyelnek bennünket – repülőtéren, utcán és így tovább –, aminek nem feltétlenül örülünk, de eközben elvárjuk, hogy garantálják a biztonságunkat. A dilemma tehát az, hogy hol van a határa a személyes adatok védelmének és a biztonságnak. Krasznay szerint ezt az ellentmondást a GDPR részben feloldja, részben azonban ki is élezi.

Egyes kutatások szerint jelenleg a kiberbiztonsági támadások éves szinten 3 ezer milliárd dollár kárt okoz globálisan, 2021-ben viszont már ennek duplája lesz a kár. Ennek megfelelően sokat is költünk a védelemre, eszközökre, szolgáltatásokra, emberi erőforrásokra. Hiába költünk azonban a biztonságra, ha elég egy rossz kattintás, és máris sérül az adatbiztonság. Az emberi tényezőre kell tehát koncentrálni. Pénzügyi szektor, közigazgatás stb. régóta és szigorúan szabályozott területek, hogy ezeket a problémákat minimalizálják. A GDPR ezt nyitja ki gyakorlatilag minden olyan szervezetre, amely bármilyen szinten kezel személyes adatokat.

A GDPR végrehajtása a kulcs

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke hosszasan vette sorra azt a teendőlistát, melyet a brit adatvédelmi szervezet, az Information Commissioner's Office állított össze arról, hogyan kell felkészülni a GDPR-re. (A listát egy kattintásnyira ismertettük részletesebben.)

Péterfalvi arra hívta fel a figyelmet, hogy a GDPR az uniós polgárok adatainak védelmét írja elő, kezeljék az adatokat bárhol is a világon. A rendelet ezzel reagál is a technológiai fejlődésre és a globalizációra.

De van egy másik szempont is: az EU-ban felhalmozódott személyes adatok értékét ezermilliárd euróra becsülik, azaz itt egy nagyon nagy üzletről is szó van, ami szintén arra sarkallta a döntéshozókat, hogy EU-szinten egységes szabályozás legyen, szemben a korábbi ajánlással, melyet minden tagország a maga módján implementálhatott.

A GDPR a korábbi ajánlással szemben közvetlenül alkalmazandó. Egyik fontos újdonsága, hogy megfordítja a bizonyítás folyamatát: az adatkezelőnek kell bizonyítania, hogy minden szempontból (technológia, folyamatok stb.) megfelel a rendelet előírásainak. Péterfalvi példaként a telefonos lehallgatást hozza. Magyarországon ebben például jelenleg kusza a helyzet, nem egyértelmű például, hogy az érintettnek egy rögzített telefonbeszélgetés leiratát vagy a felvételt kell megkapnia. A GDPR ebben is egyértelműbb helyzetet hoz, mert aszerint az érintettnek ki kell adni magának a hangfelvételnek a másolatát is.

Egyébként Péterfalvi is a fentebb már említett brit adatvédelmi hatóság tizenkét pontjából indult ki a teendő összefoglalásakor. Külön kiemelte az adatvédelmi tisztségviselő fontosságát. Mint mondta, több felsőoktatási intézményben indítottak ilyen szakirányú képzést.

Középpontban az elszámoltathatóság

A Gartner is azt javasolja, hogy mindenekelőtt meg kell határozni az adott szervezet helyzetét a GDPR vonatkozásában. Minden olyan szervezet, amely feldolgoz személyes adatokat, adatkezelőnek minősül, és vonatkozik rá az EU-s rendelet. És ha ez így van, köteles is kinevezni adatvédelmi felelőst. Ebbe a körbe az állami szervek is beletartoznak.

Az adatok csak célhoz kötötten kezelhetők, emiatt a tárol adatok minősége és relevanciája is nagyon fontos. A rendelet egyébként meg is szünteti a hallgatólagos beleegyezést, azaz minden esetben az adatkezelőnek egyértelműen meg kell szereznie az adatgazda beleegyezését, hogy adott adatokat adott célból felhasználhat-e. Az adatokat pedig úgy kell tárolni, hogy ahhoz illetéktelen ne férhessen hozzá, és ezt az adatkezelőnek bizonyítania is kell. A Gartner elemzői ezzel kapcsolatban megjegyzik: nagyon kevés az olyan szervezet, amely már minden olyan folyamatát azonosította, amelyben személyes adatokat is kezel.

Ez utóbbi ugyanakkor nagyon fontos, hiszen azokat, akiknek az adatait a szervezetek tárolják – őket nevezik adatalanyoknak –, a GDPR egy sor jogosítvány ad. A felejtés joga biztosítja, hogy az adatalany bármikor kérheti adatai végleges törlését (ez Péterfalvi szerint fizikai megsemmisítést jelent). Az adatkezelőnek biztosítani kell az adatok hordozhatóságát. Emellett tájékoztatási kötelessége is van: ha az adatokkal kapcsolatosan bármiféle biztonsági incidens (adatlopás, adatszivárgás stb.) történik, arról bizonyos határidőn belül tájékoztatnia kell az adatalanyt.

Péterfalvi szerint annak ellenére, hogy a GDPR rendelkezései minden tagállamban közvetlenül érvényesek, egy sor kérdést továbbra is az adott ország szabályoz a végrehajtás részletein keresztül.