Mit tanuljunk mások hibáiból – avagy a GDPR büntetés tanulságai

forrás: Prím Online, 2019. november 29. 11:33

A NAIH határozatából sok mindent tanulhatunk. A legfontosabb, hogy ha az Adatkezelő nem jelenti be 72 órán belül az észlelt incidenst a hatóságnak az egyértelműen büntetést von maga után. Ha kiemelt adatokat, azaz például egészségügyi adatot kezel valaki és Adatvédelmi Tisztviselő kinevezésére kötelezett akkor, mint magasabb kockázat a határozatból tanulva még incidenskezelési szabályzatot is elvár a Hatóság.

A GDPR rendelet nem írja elő explicit, hogy milyen szabályzatokkal kell egy szervezetnek rendelkeznie, azonban a kockázattokkal arányos szabályozást elvárja. Az a szervezet, amely Adatvédelmi Tisztviselő kinevezésére kötelezett a rendelet szándékai szerint valamiért kiemelt Adatkezelő, így a nagyobb kockázatok komolyabb szervezési, azaz szabályozási kötelezettséget jelentenek.

 

Érdemes megtanulni még az esetből, hogy nem csak a digitális adatkezelés hanem a papír alapon kezelt adatok is GDPR alá esnek, ha nyilvántartásba vettük azokat. Az adatokhoz való hozzáférés teljesítése – ami a rendelet 32. cikkében a bizalmasság, sértetlenség és rendelkezésre állás paramétereiben jelenik meg – sokkal nagyobb erőforrást igényel, mint, hogy a szabályzatba beleírja az Adatkezelő saját maga és alvállalkozói számára, hogy ez elvárás.

 

Az információbiztonsági követelmények lesznek a következő három év GDPR kockázatai. Erre a területre általában igen kevés erőforrást fordítottak a felkészülés során az Adatkezelők. – tette hozzá Sándor Zsolt András a Gill & Murry információbiztonsági partnere. Tapasztalataink szerint mind szervezeten belül mind az alvállalkozókkal szemben még csak elvi síkon sincs rögzítve az információbiztonsági elvárás, a jelen határozatból is kiderül, hogy a Hatósági elvárás ezzel szemben az, hogy működő folyamatok és dokumentált szabályozás szükséges ezen a területen is.

 

Javasoljuk a GDPR és a kapcsolódó információbiztonsági szabályozások felülvizsgálatát, valamint az incidenskezelési folyamatának tesztelését egy képzelt incidens kapcsán. Vajon pénteken du. 14h-kor az indexre felkerülő következő dokumentum esetében képes lenen az Önök szervezete 72 órán belül a megfelelő vezetői döntéseket követően a NAIH bejelentőt kitöltve a szükséges javító intézkedések tervének kialakítását követően teljeskörűen teljesíteni a bejelentési kötelezettéget?!

Biztonság ROVAT TOVÁBBI HÍREI

Felhőalapú biztonsági csomagokkal bővült az ESET megújult üzleti portfoliója

A 2020-as események katalizátorként működve minden eddiginél fontosabbá tették az amúgy is egyre népszerűbb felhőalapú szemléletet az üzleti világban. A vállalatoknak olyan védelmi szoftverre van szükségük, amely illeszkedik ehhez a stratégiai törekvéshez. A változásokra reagálva az IT biztonsági megoldásokat fejlesztő ESET kialakította új felhőalapú üzleti portfolióját, amely rugalmas és testreszabható megoldásként segít megfelelni 2021 biztonsági kihívásainak, a kis irodáktól kezdve egészen a legnagyobb vállalatokig.

2021. március 1. 13:24

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén 20 éves az Adverticum

2021. február 8. 14:49

Kinőtte a határokat a Codecool

2021. február 1. 14:47

A DokiApp-ot választották az év applikációjának

2021. január 18. 14:59

Zsinórban hatodszor az Év Honlapja a mateking.hu

2021. január 7. 09:55