Az informatika évtizedeken át tartó fejlődésével párhuzamosan fejlődött az informatikai és az információbiztonság tartalma, jelentése is. Ugyan mindig is az adatvagyon biztonságával kapcsolatos volt a fogalom tartalmi része, eleinte azonban a fő hangsúly a védelmen (ezen belül is az adatokat tároló, feldolgozó informatikai rendszerek védelmén) volt. Azt viszont, hogy az adatok, és a feldolgozásukkal megszerezhető információk forrása kire, mire vonatkoznak nem igazán került eddig a figyelem középpontjába.
Pedig…
Az informatikai biztonság és az információbiztonság fogalmát meg kell különböztetnünk egymástól. Erre magyarázatul a következő ábra szolgál:
A hagyományos információ-reprezentációk például a levéltárak, könyvtárak, a különböző közintézmények által nem digitalizált formában tárolt dokumentumok. A hagyományos formában létező, és az informatikai rendszerekben tárolt információk együttes biztonságát az információbiztonság, az információk informatikai rendszerekben és az informatikai eszközök és szolgáltatások együttesének biztonságát pedig az informatikai biztonság fogalommal határozhatjuk
Hogyan közelíti meg a 2013. L. törvény, és a 41/2015. (VII. 15.) BM rendelet az információvédelmi feladatokat?
Az állami és önkormányzati szervek elektronikus információ-biztonságáról szóló 2013. évi L. törvény (röviden - Ibtv.) és a végrehajtásáról és a követelményekről szóló 41/2015. (VII. 15.) BM rendelet tulajdonképpen csak szigorúan a szervezetek elektronikus információs rendszereinek védelmét biztosító kötelezettségeit tartalmazza. Általában (nemzetközi szinten is) igaz, hogy az eddigi szabályozások szigorúan csak az információs rendszerek védelmére, a védelemmel kapcsolatos intézkedések, teendők szabályozására korlátozódtak.
Az információvédelem eddig az adatok forrásával, az érintettekkel, azok információvédelmi jogaival kevéssé foglalkozott. Mára azonban az informatika fejlődése elérte azt a szintet, amikor majdnem minden dologról, eseményről stb. lehet adatokat rögzíteni, azokat dokumentálni, majd ezek különböző szempontok szerinti feldolgozásával információkat, elemzéseket és előrejelzéseket lehet előállítani.
A kisebb reklámcégek, hirdetésekkel vagy weboldalakkal foglalkozó vállalkozások megvásárolhatják ezeket a már idegen kézben lévő európai forrású adatokat kereskedelmi célokra. Az amerikai vállalkozások között ezeknek az adatoknak az adás-vétele már ellenőrizhetetlenül, felügyelet nélkül történik.
Mint általában minden adat, a személyes adatok is értéket képviselnek. Az elmúlt néhány évben az élet különböző területein, a különböző vállalkozásoknál, az állami és egyéb szervezeteknél keletkezett információk már ellenőrizhetetlen mértékben kezdtek „keringeni” a piacon. A multinacionális cégek még mindig a napi szokásos munkameneteik során tölthetik fel az Európában gyűjtött adatokat az Európán kívüli központjaikban elhelyezett szervereikre. Minden adat, információ ‒ érzékeny és kevésbé érzékenyek egyaránt ‒ a piacra került, ellenőrizhetetlenül adták-vették ezeket. Az emberek azonban nagyon nem szeretik, ha bárki bármit rögzíthet és nyilvántarthat róluk, azt pedig még kevésbé, hogy a róluk nyilvántartott információkból mások üzleti hasznot is szereznek. Az emberek egyre tudatosabban vigyáznának az adataikra. Az információvédelemben tehát olyan változtatások váltak szükségessé, amelyek középpontba helyezik a személyes adatokat, és ezzel együtt a személyes adatok védelmét.
Ezt az igényt felismerve alkották meg az EU-s döntéshozók az új uniós adatvédelmi rendeletet (GDPR), amely tehát a személyes adatok védelmét helyezi a középpontba, és amely a cégek oldalán rengeteg változást követel meg a rendelet életbelépésének napjáig, 2018 május 25. A kevesebb mint egy év múlva, életbe lépő új szabályoknak való megfelelés persze sok pénzbe és még több munkaórába kerül majd a cégeknek, de aki nem csak egy kipipálandó kötelezőségként tekint a GDPR-ra, az sokat nyerhet a szabályozáson.
Az Általános Adatvédelmi Rendeletben (a GDPR-ban) megfogalmazott legfontosabb követelmények:
- Transzparencia, méltányosság és jogszerűség betartása a személyes adatok kezelésénél és felhasználásánál. A cégeknek tájékoztatnia kell az ügyfeleiket arról, hogy az adataikat hogyan és mire használják fel, és az adatok kezelésének jogi alapját is tisztázniuk kell.
- A személyes adatokat speciális, jól meghatározott, jogi alappal rendelkező célból lehet csak felhasználni. Az adatokat nem szabad újra-felhasználni vagy továbbadni olyan célból, amely az adatok gyűjtésekor nem került rögzítésre.
- Az adatok gyűjtésének és tárolásának minimalizálása érdekében csak annyi ideig szabad tárolni az adatokat, amíg az adat gyűjtésekor meghatározott célok ezt megkövetelik.
- A személyes adatok pontosságának, javíthatóságának és törlésének biztosítása.
- A személyes adatok biztonságának, integritásának és titkosságának biztosítása.
És mit kell tennünk... ?
Az EU új Általános Adatvédelmi Rendelete (GDPR) 2018. május 25-től minden olyan európai szervezetre hatással lesz, amely bármilyen személyes adatot kezel, és minden olyan céget érint majd, amely Európán belül tevékenykedik.
A GDPR szabályozási rendszere igen összetett, a szabályok be nem tartása jelentős anyagi következményekkel járhat, akár 20 millió eurós bírság is kiszabható.
Tehát minden szervezetnek, vállalatnak jól felfogott érdeke, hogy ‒ figyelembe vége a már megjelent nemzetközi ajánlásokat ‒ mihamarabb elkezdje a felkészülést. És bár a magyar szabályozás, amely a GDPR honosítását fogja eredményezni, még nem készült el, az Európai Unióban már történtek olyan lépések, amelyeket alapul vehetünk a felkészüléshez. Ilyen példa lehet az ICO, a brit Information Comissioner’s Office által már közzétett stratégia, illetve az általuk a felkészülés során végrehajtandó lépésekre tett javaslat:
- Tudatosság
Meg kell győződni arról, hogy a szervezetben a döntéshozók és a kulcsfontosságú személyek tisztában vannak azzal, hogy a vonatkozó törvény(ek) a GDPR-nek megfelelően módosul(nak). Fel kell mérni a törvényi változások valószínűsíthető hatásait. - A rendelkezésre álló információk
A szervezetnek át kell tekintenie, hogy milyen személyes adatokat tart nyilván, azok honnan származnak, és kivel osztja meg azokat. A jelenleg tárolt adatok felmérése céljából szükség lehet egy információs audit végrehajtására. - Az adatvédelmi információk közzététele
Ugyan csak át kell tekinteni az érvényes adatvédelmi nyilatkozatokat, amelyek a tárolt adatokhoz kapcsolódnak, és időben meg kell tervezni a szükséges, vagyis a GDPR-nek megfelelő változtatásokat. - A személyhez fűződő jogok
Meg kell vizsgálniuk eljárásaikat, vajon megfelelően biztosítják-e az érintett személyek számára az új szabályozások által lefedett valamennyi jogot, beleértve a személyes adatok törlésére és/vagy egy általánosan használt formátumban az elektronikus adatokhoz való hozzáférésre vonatkozó jogokat is. - Alanyi hozzáférési kérések
A szervezeteknek Időszerűvé kell tenniük eljárásaikat, és meg kell tervezniük azt, hogy hogyan kezelik majd a kérelmeket az új időhatárokon belül és hogyan nyújtanak kiegészítő tájékoztatást az adatkezeléssel érintett személyek számára. - A személyes adatok feldolgozásának jogalapja
Át kell tekinteniük a szervezetük által végrehajtott adatfeldolgozások különböző típusait, és meg kell határozniuk azok végrehajtásának jogalapját. A vizsgálatok eredményét dokumentálniuk kell. - Beleegyezés
Felül kell vizsgálniuk azt a folyamatot, ahogyan igénylik, megkapják és rögzítik az adatkezeléshez a beleegyezéseket, valamint azt, hogy az eljáráson kell-e változtatniuk. - A gyermekek
Már most el kell gondolkodni olyan ügymenetek bevezetésén, amelyekkel igazolhatják a magánszemélyek életkorát, és amelyekkel az adatfeldolgozási folyamataikhoz biztosítani tudják a szükséges szülői és/vagy gondviselői beleegyezést. - Az adatokkal kapcsolatos jogsértések
A szervezeteknek meg kell bizonyosodniuk arról, hogy megfelelő eljárásokat alkalmaznak-e a személyes adatokkal kapcsolatos jogsértések feltárására, jelentésére és kivizsgálására. - A tervezett adatvédelem és adatvédelmi hatásvizsgálatok
Ki kell dolgozni az adatvédelmi hatásvizsgálatok módszertanát saját szervezetükre, és meg kell határozniuk, hogy hogyan és mikor alkalmazzák azokat a szervezetükre. - Adatvédelmi tisztviselő
Ha szükséges, ki kell jelölni egy adatvédelmi tisztviselőt, aki az adatvédelmi előírásoknak való megfelelésért lesz felelős, meg kell határozni, hogy a szervezeti struktúrájukon belül hol fog elhelyezkedni az adatvédelmi munkatárs, és tegyék meg a szükséges intézkedéseket a munkába állításához. - Nemzetközi tevékenység
Ha az önök szervezete nemzetközi tevékenységet is végez, keressék meg, melyik adatvédelmi felügyeleti fennhatóság alá tartoznak.
A Seacon Europe a GDPR bevezetésére való felkészülés során segítséget tud nyújtani a 2017. május 25-ei bevezetéshez. Figyelje további, a témához kapcsolódó cikkeinket, tájékoztatásainkat, kövesse a honlapunkon megjelenő híreket, kérjem tájékoztatást tőlünk a GDPR bevezetésével kapcsolatos kérdésekben!
… és csak nehogy megint későn kapjanak észbe az adatainkat nyilvántartó, kezelő és feldolgozó szervezetek.
„Mi mindig mindenről elkésünk,
Mi biztosan messziről jövünk,
Fáradt, szomorú a lépésünk.
Mi mindig mindenről elkésünk.”
Ady Endre ‒ Akik mindig elkésnek (1908.)