Mit tanuljunk mások hibáiból – avagy a GDPR büntetés tanulságai

forrás: Prím Online, 2019. november 29. 11:33

A NAIH határozatából sok mindent tanulhatunk. A legfontosabb, hogy ha az Adatkezelő nem jelenti be 72 órán belül az észlelt incidenst a hatóságnak az egyértelműen büntetést von maga után. Ha kiemelt adatokat, azaz például egészségügyi adatot kezel valaki és Adatvédelmi Tisztviselő kinevezésére kötelezett akkor, mint magasabb kockázat a határozatból tanulva még incidenskezelési szabályzatot is elvár a Hatóság.

A GDPR rendelet nem írja elő explicit, hogy milyen szabályzatokkal kell egy szervezetnek rendelkeznie, azonban a kockázattokkal arányos szabályozást elvárja. Az a szervezet, amely Adatvédelmi Tisztviselő kinevezésére kötelezett a rendelet szándékai szerint valamiért kiemelt Adatkezelő, így a nagyobb kockázatok komolyabb szervezési, azaz szabályozási kötelezettséget jelentenek.

 

Érdemes megtanulni még az esetből, hogy nem csak a digitális adatkezelés hanem a papír alapon kezelt adatok is GDPR alá esnek, ha nyilvántartásba vettük azokat. Az adatokhoz való hozzáférés teljesítése – ami a rendelet 32. cikkében a bizalmasság, sértetlenség és rendelkezésre állás paramétereiben jelenik meg – sokkal nagyobb erőforrást igényel, mint, hogy a szabályzatba beleírja az Adatkezelő saját maga és alvállalkozói számára, hogy ez elvárás.

 

Az információbiztonsági követelmények lesznek a következő három év GDPR kockázatai. Erre a területre általában igen kevés erőforrást fordítottak a felkészülés során az Adatkezelők. – tette hozzá Sándor Zsolt András a Gill & Murry információbiztonsági partnere. Tapasztalataink szerint mind szervezeten belül mind az alvállalkozókkal szemben még csak elvi síkon sincs rögzítve az információbiztonsági elvárás, a jelen határozatból is kiderül, hogy a Hatósági elvárás ezzel szemben az, hogy működő folyamatok és dokumentált szabályozás szükséges ezen a területen is.

 

Javasoljuk a GDPR és a kapcsolódó információbiztonsági szabályozások felülvizsgálatát, valamint az incidenskezelési folyamatának tesztelését egy képzelt incidens kapcsán. Vajon pénteken du. 14h-kor az indexre felkerülő következő dokumentum esetében képes lenen az Önök szervezete 72 órán belül a megfelelő vezetői döntéseket követően a NAIH bejelentőt kitöltve a szükséges javító intézkedések tervének kialakítását követően teljeskörűen teljesíteni a bejelentési kötelezettéget?!

Biztonság ROVAT TOVÁBBI HÍREI

Amit ma megvédhetsz, ne halaszd holnapra!

A közelgő, január 28-i Adatvédelmi Nap remek alkalom a szervezetek számára, hogy megvizsgálják, vajon minden szükséges lépést megtettek-e azért, hogy a lehető legnagyobb biztonságban tudják érzékeny információikat, és minimálisra csökkentsék az adatszivárgási kockázatokat. Biztos, hogy mindent védünk és titkosítunk, amit kell? Csak azok férnek hozzá a fájlokhoz, akiknek valóban szükséges? Megfelelő stratégiánk van az átfogó adatvédelemhez? Lássuk a maximális biztonsághoz szükséges listát!

2020. január 27. 13:42

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Életet menthet az ÉletMentő applikáció

2020. január 23. 14:20

Így válthatja le személyi igazolványunkat, útlevelünket egy okostelefon

2020. január 16. 14:39

Újra fesztiváloznak a marketingesek

2020. január 9. 08:01

Digitális biztonsági trendek 2020-ban a Sophos szerint

2020. január 3. 11:44
online sportfogadás