GDPR: Nincs 100 százalékos megfelelés

forrás: Prím Online, 2018. április 11. 19:31

Május 25-én lép életbe az Egységes Európai Adatvédelmi Rendelet (GDPR), ám egy szervezet sem tud rá 100 százalékosan felkészülni, és a jogszabály minden pontjának megfelelni. A hátralévő 1 hónap már nem sok mindenre elég, azok a cégek pedig, akik úgy gondolják, az informatikusok majd gondoskodnak az adatok védelméről, nagyon rossz úton járnak - világít rá Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője.

A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így ha egy cég vagy szervezet életében ezek védelme nem kap kiemelt szerepet, komoly veszélyek fenyegethetik nemcsak az ügyfeleket, de magát a céget is. Éppen ezért vezetik be május 25-től a GDPR-t, vagyis az Egységes Európai Adatvédelmi Rendeletet, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Az új határozatra nem mindenki áll készen: becslések szerint a hazai cégek és szervezetek 30 százaléka soha nem hallott még a szabályozásról, a maradék 70 százalék több mint fele pedig halott ugyan róla, de fogalmuk sincs, mihez kellene kezdeniük vele. 

 

„A GDPR-ral kapcsolatban az a rossz hír, hogy soha senki nem fogja tudni kijelenteni azt, hogy márpedig a szervezet 100 százalékig felkészült és a jogszabály minden pontjának megfelel. Ez azért van, mert a személyes adatok védelme – hasonlóan az információvédelemhez – egy kockázatalapú megközelítésen nyugszik: ahogy a szervezet, úgy a fenyegető tényezők is változnak. Mindössze annyi várható el, hogy a szervezet elfogadható kockázati szinten működjön. Ahogy nincs 100 százalékos biztonság, úgy nincs 100 százalékos GDPR megfelelés sem.” – emelte ki Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője.

 

Szintén rossz hír, hogy a maradék közel egy hónap már nem sok mindenre elég. Azok a cégek, akik eddig is úgy gondolták, hogy a rendszergazda megoldja az adatok és információk védelmét, nagyon rossz úton járnak. A személyes adatok védelme, hasonlóan a szervezet egyéb információs vagyonának védelméhez nem az IT feladata, bár sokan úgy gondolják – ők azzal érvelnek, hogy hozzájuk áll legközelebb. Ez csak abból a szempontból igaz, hogy az adattárolókhoz és szerverekhez az informatikusok vannak a legközelebb, hiszen ezek fizikailag a gépteremben vagy a szerverszobában vannak. 

 

 

A szervereken lévő adatokat, információkat és fájlokat azonban nem az informatikusok teszik oda és használják, hanem üzleti, szervezeti folyamatokon keresztül a teljes cég. Éppen ezért van a GDPR-ben is megfogalmazva az adatkezelő és az adatfeldolgozó közötti különbség: elsősorban az adatkezelő felel az adatokért, mivel ő dönt, ő határozza meg a kezelés módját. Az informatikus vagy programozó csupán adatfeldolgozó: nem ő mondja meg, hogy egy üzleti folyamatot támogató rendszer milyen funkciókkal és adatokkal működjön. Nem az informatikusok dolga – és nem is a jogászoké – annak eldöntése, hogy egy-egy személyes adat, vagy az azt kezelő rendszer mennyire fontos a szervezetnek és hogyan kell megvédeni azokat. Sok helyen az informatikára van ez a szerep kényszerítve, ám ez problémás: az IT saját működése mellett, a saját biztonsági szakértelme és kockázatérzékenysége szintjén fogja ezt a témát kezelni. Az adatok és információk védelme a teljes szervezetet át kell, hogy járja. Mi akkor a megoldás? 

 

„Az információvédelem egy külön szakma, ami tanulható, viszont egy szervezet nem tud egy tollvonással a megfelelő információ- és személyes adat védelmi szintre eljutni. Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. Hasonlóan a DPO, vagyis adatvédelmi tisztviselő szerepköre mellett a vállalatoknak ki kell alakítaniuk egy információvédelmi felelősi szerepkört is. Ha ezt komolyan veszik, – és muszáj lesz nekik – ez előbb utóbb egy szervezetté fogja kinőni magát. A jövőben ezt mindenkinek szem előtt kell tartania, mert adatvédelmi incidens vagy a jogszabály megszegése esetén komoly büntetés várható.” – emelte ki a QUADRON szakértője. 

 

Az első, és legfontosabb, amit tudnunk kell, az, hogy mit akarunk megvédeni. Fel kell mérni, hogy milyen személyes adatokat kezel a cég, milyen folyamatokban játszanak szerepet, ki fér hozzájuk, hol és milyen formában tárolódnak – a GDPR a papír alapú adatkezelésre is vonatkozik –, végül pedig tisztában kell lenni azzal, mennyi ideig kell ezeket megőrizni. „A személyes adatok kezelése, mint fogalom a jogszabályban megtalálható. A lényeg, hogy amíg nem ismerjük a szervezetünket a személyes adatok kezelése szempontjából, addig teljesen esélytelen a siker mind a jogi résznek való megfelelés, mind a személyes adatok megvédésére tett erőfeszítések tekintetében.” – tette hozzá Solymos Ákos. 

Trend ROVAT TOVÁBBI HÍREI

A Széchenyi István Egyetem közreműködésével magyar műhold vizsgálja az aszályos területeket

Hiánypótló kutatás zajlik a győri Széchenyi István Egyetem részvételével, amelynek keretében egy műhold ad rendszeresen távérzékelt adatokat Magyarország területéről. A konzorciumban megvalósuló európai uniós projekt során az intézmény Albert Kázmér Mosonmagyaróvári Kara az űrből érkező információkat elemzi és kontrollálja az aszályos időszakok hatásainak enyhítése érdekében. 

2024. november 2. 15:26

Számos MI-t használó alkalmazással ismerkedhettek meg a résztvevők a Mobile Broadband Forum kiállításon

Már több mint három millió mesterséges intelligenciára képes alkalmazás készült világszerte, túlszárnyalva a hagyományos alkalmazások számát – derült ki a 2024-es Isztambulban megrendezett Global Mobile Broadband Forum (MBBF) során. 

2024. november 2. 11:54

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59