A NAIH határozatából sok mindent tanulhatunk. A legfontosabb, hogy ha az Adatkezelő nem jelenti be 72 órán belül az észlelt incidenst a hatóságnak az egyértelműen büntetést von maga után. Ha kiemelt adatokat, azaz például egészségügyi adatot kezel valaki és Adatvédelmi Tisztviselő kinevezésére kötelezett akkor, mint magasabb kockázat a határozatból tanulva még incidenskezelési szabályzatot is elvár a Hatóság.
A GDPR rendelet nem írja elő explicit, hogy milyen szabályzatokkal kell egy szervezetnek rendelkeznie, azonban a kockázattokkal arányos szabályozást elvárja. Az a szervezet, amely Adatvédelmi Tisztviselő kinevezésére kötelezett a rendelet szándékai szerint valamiért kiemelt Adatkezelő, így a nagyobb kockázatok komolyabb szervezési, azaz szabályozási kötelezettséget jelentenek.
Érdemes megtanulni még az esetből, hogy nem csak a digitális adatkezelés hanem a papír alapon kezelt adatok is GDPR alá esnek, ha nyilvántartásba vettük azokat. Az adatokhoz való hozzáférés teljesítése – ami a rendelet 32. cikkében a bizalmasság, sértetlenség és rendelkezésre állás paramétereiben jelenik meg – sokkal nagyobb erőforrást igényel, mint, hogy a szabályzatba beleírja az Adatkezelő saját maga és alvállalkozói számára, hogy ez elvárás.
Az információbiztonsági követelmények lesznek a következő három év GDPR kockázatai. Erre a területre általában igen kevés erőforrást fordítottak a felkészülés során az Adatkezelők. – tette hozzá Sándor Zsolt András a Gill & Murry információbiztonsági partnere. Tapasztalataink szerint mind szervezeten belül mind az alvállalkozókkal szemben még csak elvi síkon sincs rögzítve az információbiztonsági elvárás, a jelen határozatból is kiderül, hogy a Hatósági elvárás ezzel szemben az, hogy működő folyamatok és dokumentált szabályozás szükséges ezen a területen is.
Javasoljuk a GDPR és a kapcsolódó információbiztonsági szabályozások felülvizsgálatát, valamint az incidenskezelési folyamatának tesztelését egy képzelt incidens kapcsán. Vajon pénteken du. 14h-kor az indexre felkerülő következő dokumentum esetében képes lenen az Önök szervezete 72 órán belül a megfelelő vezetői döntéseket követően a NAIH bejelentőt kitöltve a szükséges javító intézkedések tervének kialakítását követően teljeskörűen teljesíteni a bejelentési kötelezettéget?!