Mit tanuljunk mások hibáiból – avagy a GDPR büntetés tanulságai

forrás: Prím Online, 2019. november 29. 11:33

A NAIH határozatából sok mindent tanulhatunk. A legfontosabb, hogy ha az Adatkezelő nem jelenti be 72 órán belül az észlelt incidenst a hatóságnak az egyértelműen büntetést von maga után. Ha kiemelt adatokat, azaz például egészségügyi adatot kezel valaki és Adatvédelmi Tisztviselő kinevezésére kötelezett akkor, mint magasabb kockázat a határozatból tanulva még incidenskezelési szabályzatot is elvár a Hatóság.

A GDPR rendelet nem írja elő explicit, hogy milyen szabályzatokkal kell egy szervezetnek rendelkeznie, azonban a kockázattokkal arányos szabályozást elvárja. Az a szervezet, amely Adatvédelmi Tisztviselő kinevezésére kötelezett a rendelet szándékai szerint valamiért kiemelt Adatkezelő, így a nagyobb kockázatok komolyabb szervezési, azaz szabályozási kötelezettséget jelentenek.

 

Érdemes megtanulni még az esetből, hogy nem csak a digitális adatkezelés hanem a papír alapon kezelt adatok is GDPR alá esnek, ha nyilvántartásba vettük azokat. Az adatokhoz való hozzáférés teljesítése – ami a rendelet 32. cikkében a bizalmasság, sértetlenség és rendelkezésre állás paramétereiben jelenik meg – sokkal nagyobb erőforrást igényel, mint, hogy a szabályzatba beleírja az Adatkezelő saját maga és alvállalkozói számára, hogy ez elvárás.

 

Az információbiztonsági követelmények lesznek a következő három év GDPR kockázatai. Erre a területre általában igen kevés erőforrást fordítottak a felkészülés során az Adatkezelők. – tette hozzá Sándor Zsolt András a Gill & Murry információbiztonsági partnere. Tapasztalataink szerint mind szervezeten belül mind az alvállalkozókkal szemben még csak elvi síkon sincs rögzítve az információbiztonsági elvárás, a jelen határozatból is kiderül, hogy a Hatósági elvárás ezzel szemben az, hogy működő folyamatok és dokumentált szabályozás szükséges ezen a területen is.

 

Javasoljuk a GDPR és a kapcsolódó információbiztonsági szabályozások felülvizsgálatát, valamint az incidenskezelési folyamatának tesztelését egy képzelt incidens kapcsán. Vajon pénteken du. 14h-kor az indexre felkerülő következő dokumentum esetében képes lenen az Önök szervezete 72 órán belül a megfelelő vezetői döntéseket követően a NAIH bejelentőt kitöltve a szükséges javító intézkedések tervének kialakítását követően teljeskörűen teljesíteni a bejelentési kötelezettéget?!

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Jó belépő a külföldi piacra a hazai tech cégeknek

2021. július 20. 16:30

Első a kiberbiztonság?

2021. július 7. 12:37

950-szeresére nőtt három hét alatt a magyar vizslacoin árfolyama

2021. június 28. 09:52

NMHH-kutatás: miért nem internetezik mindenki?

2021. június 14. 09:53