A vállalkozások nagyjából ötöde nincs tisztában a rá vonatkozó követelményekkel; ugyanilyen arányban vannak azok, akik meg sem kezdték a felkészülést; és több mint felük a védendő értékekkel, a kockázatokkal és az esetleges támadások gyakoriságával, súlyosságával sincs tisztában. (Az adatok az IDC és az ESET idei felméréséből valók.) És teszik ezt (illetve nem teszik) azzal a GDPR-ral kapcsolatban, amely jövő májustól minden, az EU területén működő vállalkozásra egyaránt vonatkozni fog, és amely komoly büntetésekkel fenyegeti a szabályozás megsértőit.

Bármennyi szó is esett eddig a GDPR-ról különféle fórumokon, úgy tűnik, nem lehet eleget beszélni a hamarosan hatályba lépő közös uniós adatvédelmi irányelvekről. A NEXON IT-Kikötő idei rendezvénye – amely egyben a szeptemberi, kihelyezett ITB Clubnak is helyet adott – ezért is járta körül a témát jogi, HR, IT-biztonsági és nem utolsósorban gyakorlati szempontból.

Vannak még kérdések

Bár a GDPR (General Data Protection Rules) új jogszabály, az adatvédelemnek, és azon belül a személyes adatok védelmének a koncepciója egyáltalán nem új keletű a magyar jogrendben – adott egy kis történelmi áttekintést Jóri András volt adatvédelmi ombudsman, a Data Protection ügyvezetője. Miért érdekes mégis ennyire a GDPR? Egyrészt azért, mert mindenkire kötelező érvényű európai jogszabályként lép életbe jövő májusban, másrészt számos területen felülírja a korábbi nemzeti szabályozásokat. A NAIH eddig maximum 20 millió forintig szabhatott ki bírságokat, és például a kisvállalkozásokat az első szabályszegésnél csak figyelmeztette. A GDPR-ban a felső határ a hírhedt 20 millió euró, illetve a teljes globális forgalom 4 százaléka, és mindez egyből „bevethető”.

Sok esetben nem egyértelmű, hogy milyen nemzeti jogszabályokat és hogyan ír felül az EU-s rendelet. Magyarországon ugyanis még nem módosították az információbiztonsági törvényt, így számos részlet egyelőre a jogászok számára is homályos. Hogyan fognak viszonyulni a szektorális (például a pénzügyi szervezetekre vonatkozó) előírások a GDPR-hoz? Milyen szabályozás marad nemzeti hatáskörben? Milyen területeket vesz ki a GDPR hatálya alól az e-privacy rendelet? Mit szabályoz a magyar rendőrségi törvény? Ezzel együtt ki lehet emelni a rendelkezés néhány fontos csomópontját, amely meghatározza a felkészülés főbb irányait. Az első ilyen, hogy a GDPR rendkívül tágan értelmezi a személyes adat fogalmát – minden ide tartozik, amelyből következtetni lehet egy ember személyazonosságára, vagy ami kapcsolatba hozható vele. Vagyis ebbe nemcsak az olyan adatok tartoznak, mint a név, születési hely, születési idő, lakcím, hanem például az egészségi állapottal kapcsolatos információk (vércsoport, DNS-térkép, CT-felvételek), videofelvételek, kézírás, és még számtalan más minden.

Weisz János, NEXON; Domokos Márton, CMS Cameron McKenna; Székely Iván, CEU

 

A második csomópont, hogy a személyes adatok kezelésére módot adó jogalapok köre szélesebb lett. Ez például olyan pont, ahol a magyar adatvédelmi szabályozás mindeddig szigorúbb volt a GDPR-nál, emelte ki Jóri András. Mindeddig személyes adatokat csak törvényi felhatalmazás vagy az érintett meghatározott célra adott hozzájárulása alapján lehetett kezelni. Az EU-s rendelet jóval több jogalapot enged meg.

Végül a harmadik fontos terület az érintetti jogok kiszélesedése. Az érintett magánszemélynek nemcsak ahhoz lesz joga, hogy megnézze a róla tárolt személyes adatokat, hanem megtilthatja az automatizált profilozást és döntéshozatalt, illetve kérheti, hogy töröljenek minden róla tárolt adatot.

Át kell nézni mindent

Mit tehet ilyen helyzetben egy vállalat, ha meg akar felelni a szigorú jogszabályi előírásoknak? Hargitai László, a KPMG tanácsadója szerint igazából egyetlen vállalkozás sem fogja tudni kivonni magát a GDPR hatálya alól, mert ha mást nem is, a munkavállalók személyes adatait biztosan kezeli. A legbiztosabb módszer, ha a cég készít egy checklistet a tennivalókról, és azon végighaladva készül fel. Az ördög persze a részletekben rejlik – nagyon nem mindegy, milyen az adott lista. A legfontosabb, hogy a jó checklist nem a GDPR-ról szól, nem annak a paragrafusain halad végig, hanem a céget állítja a középpontba – milyen tevékenységet folytat, mik a céljai, milyen adatokat kezel, és ezekhez képest nézi meg, mit vár el tőle a GDPR. A jó lista ismérvei között van, hogy lefedi az adatvédelem minden szintjét (stratégia, operáció, kockázatkezelés); lefedi az adatok teljes életciklusát (hol tárolják, ki fér hozzá, kinek továbbítják, tényleg törlik-e); és nem utolsósorban mérhetővé is teszi az adatvédelmi fejlesztések eredményeit.

Akkor is elég sok teendője van a vállalatnak, ha csak a munkavállalóinak adatait kezeli, tért át a gyakorlatiasabb kérdésekre előadásában Amroun Rachid, a NEXON szolgáltatásmenedzsment csoportvezetője. A munkaszerződésekben általában jelenleg is van egy rövid összefoglaló a személyes adatok kezeléséről, illetve tartalmazzák a munkavállaló hozzájárulását a harmadik fél részére történő adattovábbításhoz. Ezeket a szerződésmintákat át kell vizsgálni, és meg kell állapítani, hogy az egyes adatokat milyen jogcímen kezeli a munkáltató. Hasonlóképpen át kell dolgozni a céges adatvédelmi szabályzatot is, és abba, vagy a munkaszerződésbe részletes adatvédelmi tájékoztatást kell foglalni.

A kibővített érintetti jogokat természetesen biztosítani kell a munkavállalóknak, például azt, hogy megtekinthessék és módosíthassák a róluk tárolt adatokat. Ezt most is megteheti a dolgozó, de Amroun Rachid szerint az új előírások több kérdést is felvetnek. Így például ha a személyes adatok kezelése elektronikus úton történik, akkor a munkáltató köteles biztosítani a kérelmek elektronikus benyújtásának lehetőségét. Ugyancsak kérdéses a felejtéshez való jog – a munkáltató törli az adatokat a rendszereiből, ha a dolgozó ezt kéri (például amikor felmond), de mi lesz, ha évekkel, évtizedekkel később szükség lenne ezekre, mondjuk a nyugdíj megállapításánál.

Szintén a gyakorlati kérdések kerültek szóba azon a kerekasztal-beszélgetésen, amelyen Domokos Márton, a CMS ügyvédi iroda szenior tanácsadója, Székely Iván, a CEU professzora, az adatvédelem kutatója és Weisz János, a NEXON értékesítési és üzletfejlesztési igazgatója vett részt. Egyetértettek abban, hogy minden cégnek elég nagy terhet jelent a GDPR-ra való felkészülés, különösen akkor, ha eddig még nem foglalkozott behatóbban az adatvédelem kérdésével. A NEXON ebből a szempontból jól áll, hiszen eddig sem volt számukra idegen a terület, és már jó ideje folyik a felkészülés – náluk például már az adatvédelmi tisztviselőt is kijelölték. A legnagyobb nehézség nem is a gyakorlati feladatok végrehajtásában, hanem például a kockázatelemzésben van. „Meg kellene határoznunk a kockázatoknak való kitettségünket, a várható károkat. Ugyanakkor még nem ismert a bírságolási gyakorlat, így viszont szinte lehetetlen számszerűsíteni az esetleges adatvesztések közvetett költségeit” – mondta Weisz János.

Lovas Zoltán, Nexon

Informatikával sem egyszerű

Bár a GDPR-ra való felkészülést a szervezet és a szabályzatok szintjén kell kezdeni, az érintettek előbb vagy utóbb biztosan eljutnak oda, hogy valamit az informatikai rendszereikkel is tenniük kell és az információbiztonságot sem hanyagolhatják el. Az IT-biztonsági szakembereket meg sem lepi, hogy a többség nem áll jól a felkészülésben, hiszen az informatikai biztonságtudatosság szintje eddig is alacsony volt, így ebben semmi újdonság nincs – fogalmazta meg véleményét Keleti Arthur IT-biztonsági stratéga a rendezvény egyik kerekasztal-beszélgetésén. Nem elég paranoiásak az emberek, és sokan úgy vélik, hogy a GDPR rájuk nem fog vonatkozni, pedig igen, tette még hozzá Papp Péter, a Kancellár.hu elnöke.

Informatikai adatvédelmi szempontból különösen nehéz a GDPR előírásainak való megfelelés. Az informatika eszközkészlete ugyanis sok esetben nem vagy csak nehezen tudja támogatni azokat a kívánalmakat, amelyeket a jogszabály előír. A felejtéshez való jogot például könnyen be lehet írni a GDPR-ba, akár még a cég adatkezelési szabályzatába is, de a napi gyakorlatba átültetni már sokkal nehezebb. Hogyan oldjuk meg például, ha öt évre visszamenően a különféle biztonsági mentésekből is szelektíven ki kell törölni valakinek az adatait?

De ugyanilyen gyakorlati kérdéseket vet fel az adathozzáférések jogosultságának kezelése is. „Tegyük fel, szolgáltatóként dolgozik valaki egy tenderen. A tender dokumentációjában is számtalan személyes adat rejtőzhet. Rémálom lehet annak eldöntése, hogy ezekhez az adatokhoz éppen kinek kell és szabad hozzáférést adni, nem beszélve arról, hogy a jogosultságok megadását és visszavonását is folyamatosan naplózni kell” – mondta Keleti Arthur. Az ilyen kívánalmak miatt a GDPR-nak való megfelelés folyamatos munkát igényel majd, a jogszabály életbe lépése után is be kell építeni a napi gyakorlatba. Nincs olyan, hogy valaki felkészült, most már megpihenhet – a megfelelés fenntartása pénzt és erőforrásokat igényel, de még mindig kisebb fájdalommal jár, mint a szabályszegés következményei.

Frész Ferenc, a Cyber Services ügyvezetője szerint a nagyvállalatok sem állnak igazán jól az adatvédelem terén. Elkészítették ugyan a szabályzataikat, működnek náluk a biztonsági rendszerek, és ezek papíron meg is felelnek a különféle előírásoknak, szabványoknak, de technikai szinten nem teljesítik az elvárásokat. Az IT-biztonság ráadásul nem feltétlenül csak anyagi kérdés. Minden a menedzsment fejében dől el: ha ők csak a túlélésre játszanak, az előírásoknak csak papíron akarnak megfelelni, akkor nem jól állnak a kérdéshez és túl sokat kockáztatnak. Ha tényleg fontosnak tartják a biztonságot, és prioritásként kezelik, már sokkal előrébb tartanak. Jó kiindulási pont lehet például, mondja Frész Ferenc, ha a cég felméri, milyen értéket jelent számára az adatvagyon, és milyen károkat okozna, ha ezeket elveszítené, illetéktelen kezekbe kerülne, esetleg nem férne hozzá. Így ugyanis a potenciális károkból kiindulva már könnyebb meghatározni, hogy mennyit érdemes az adatok védelmére költeni.