Mottó:
„Mi mindig mindenről elkésünk,
Mi biztosan messziről jövünk,
Fáradt, szomorú a lépésünk.
Mi mindig mindenről elkésünk.”
(Ady Endre ‒ Akik mindig elkésnek 1908)
Nagyon régen, már a számítástechnika pelenkás korában is beszéltünk arról az akkori kollégáimmal, hogy vélhetőleg a kívülállók számára az informatika (na, jó akkor még csak számítástechnika) valami csodaszer. Csak egy varázspálca, egy bűvös szó, és minden megoldódik. Sokan még ma is azt gondolják, hogy így van, csak szólni kell az informatikusnak, és csiribú-csiribá, hipp-hopp minden rendben lesz.
Az Európai Unió Általános adatvédelmi rendelete
(vagy ahogy mára már beépült a köznyelvbe ‒ GDPR)
Ezt gondolták Magyarországon akkor is, amikor az Európai Unióban a az EU Tanácsa, majd Parlamentje is elfogadta a rendeletet (2016 április). Viszont ez magától nem fog megoldódni!
És mégis . . . tavaly (2017) december óta egyre több helyen olvasom és látom, hogy szokás szerint Magyarországon még csak azon töprengenek, hogy „Hogy is van ez?”
Miközben az Európai Unió más országaiban (kiemelten pl. az Egyesült Királyságban, Németországban vagy Franciaországban) legalább az állam többé-kevésbé már felkészült az új rendelet alkalmazására, idehaza lényegében még csak nagyon kevés segítségnyújtást láthatunk az államtól. A szaksajtóban is csak riogatás folyik, és a szakmából sem nagyon lehet igazi segítségre példát látni. Ilyeneket olvashatunk:
„Minden céget érint: rohamtempóban kell felkészülni az új uniós előírásra”;
„Nem tudtuk, milyen hatalmas kihívás elé állítottuk a kollégákat";
„Lehetetlen összegű bírságokkal sújthatják a személyes adatok védelmét elmulasztó cégeket”
Pedig ezek a „cikkek” nem segítenek, csak riogatnak. Jó példákat, a „legjobb gyakorlat” -ról szóló magyar megoldásokat sem találunk a hírekben. És sajnos ezzel együtt eddig még az állam sem tudott segíteni. A NAIH is még csak a felkészülést végzi, és az sem biztos, hogy időben befejezi a tőle elvárható és elvárt munkát.
Az állam is „felkészül”: „Titkos garázdálkodás: gyanús szorgalommal gyűjt be mindenkiről adatokat az állam” ‒ ez utóbbi iszonyúan rossz hír, hiszen a magyar állami szerveknek is ugyanúgy meg kell felelnie a GDPR előírásainak, követelményeinek, mint Magyarországon és Európában bárkinek.
Kérdezhetjük, hogy jó, de mire lenne szükség? Ezekre:
- jogi megfelelőség
- technikai megfelelőség
- a teendők meghatározása
- különböző szintű adatkezelő-rendszerekhez igazodó többszintű megfelelőség-irányítási mintarendszerek kidolgozása
- tanácsadó szervezet
- jogi szervezet, amely segítséget nyújt az állampolgároknak jogaik érvényesítésében.
A fentieket áttekintve azonnal megállapítható, hogy a GDPR hatálybalépésére való felkészülés nem (pontosabban csak részben) informatikai feladat. A jogi megfelelőség követelményrendszere, a megfelelőség-irányítási rendszer és a jogi támogató rendszer kidolgozása egyaránt főleg egyéb (pl. jogi, szervezési-menedzsment) feladatokat jelent. A mikro- kis- és közepes vállalatok számára az ezekhez kapcsolódó feladatok megoldása a leggyakrabban szinte vállalhatatlan terheket jelentene, ezért volna nagy szükség a hatékony, és már felkészült állami támogatásra.
Kicsit részletesebben arról, hogy milyen tevékenységek végrehajtásáról kell gondoskodnia egy, a GDPR-nek megfelelő rendszernek:
- Adatkezelési tevékenységek nyilvántartása
A felkészülés során olyan nyilvántartásokat kell létrehozni, amely(ek) tartalmazzák azt, hogy
- milyen kategóriájú adatokat,
- melyik nyilvántartásunkban,
- milyen jogcímen,
- milyen célból,
- milyen kockázatokkal és
- hol tároljuk.
- Incidensek nyilvántartása
A GDPR által előírt biztonsági incidensek nyilvántartása.
Ez nem csak automatikusan, a kapcsolódó rendszerekből letölthetően történhet, hanem kézzel is a számítógépen nem tárolt adatok esetén. - Előzetes hatásvizsgálat támogatása
- Érintetti jogigények nyilvántartása
Tárolunk kell minden olyan eseményt, melynek során a természetes személy élni kíván valamely GDPR-ban meghatározott jogával. pl. törlés, felfüggesztés, helyesbítés, tiltakozás stb. - Adatátadások nyilvántartása
Tételesen rögzíthetőeknek kell lenniük az adatfeldolgozók felé történt adatátadásoknak. A nyilvántartás az átadott adatok konkrét körét tartalmazhatja, érintettenként részletezve. - Anonimizálás
Külön funkcionalitás tipikus természetes személyekkel kapcsolatos adatok anonimizálására. Erre azért van szükség, hogy ne képezzünk rendszerünkkel újabb biztonsági kockázatokat, ezért személyes adatokat közvetlenül nem, csak egy külső rendszerbeli azonosítót tároljunk. - Adatfelderítés
Az adatfelderítés segítségével lehetséges a személyes adatok feltérképezése az adatbázisokban.
Ilyen adattípusok például a név, a születési név, a vezetéknév, a keresztnév, a különböző címek, a születési ország, az adóazonosító, a TAJ és a személyi szám, a személyi igazolvány azonosítója és adatai, a jogosítvány azonosítója, útlevél azonosítója, lakcímkártya adatai, cégnév, adószám, bankszámlaszám, telefonszám, e-mail, egyéni vállalkozói igazolvány azonosítója, weboldal címe stb.
A GDPR a felkészülés végrehajtásán ‒ 2018. május 25-ére természetesen készen kell lenniük a megfelelő kidolgozottságú anyagainknak és be kell fejeznünk a szükséges változtatásokat ‒ túlmenően arról IS szól, hogy május 26-án már egy olyan napra ébredünk, amelytől kezdve napi szinten is el kell tudnunk járni az adatvédelemmel kapcsolatos feladatok megoldásában!
A napi adatvédelmi feladatok megoldásának segítéséhez természetesen szoftveres támogatás is szükséges. A számítógép segítségével megoldandó feladatok többek között:
- Ügyfélportál
Lehetőség szerint ügyfélportált kell biztosítani arra a célra, hogy a felhasználók lekérdezhessék a róluk nyilvántartott adatokat. - Személyes adatok gyűjtése forrásrendszerekből
A rendszer képes az ügyfeleket azonosítani a különböző személyes adatokat kezelő rendszerekben a természetes azonosítók alapján. Ezt követően pedig az adatokat összegyűjteni a kapcsolódó rendszerekből. - Riportok készítése
Előre megadott riportok és tetszőlegesen összeállítható riportok segítik a hatékony üzleti döntéseket.
A GDPR-nak való megfelelőség, és eredményei:
Az alábbi ábrákra kattintva részleteiben is megtekinteheti, mely feladatok végrehajásával tudja teljesíteni a GDPR megfelőség feltételeit.
(A prezentáció-oldalak a CMS Hugary prezentációjából kerültek felhasználásra)