GDPR

UNIÓS ADATVÉDELMI RENDELET („GDPR”)

Az új adatvédelmi törvényt minden szervezetnek alkalmazni kell, amely az Európai Unió – így Magyarország – területén személyes adatokat kezel. Márpedig ez minden cégre igaz.

A rendelet szerint az a természetes személy vagy szervezet, aki vagy amely az adatkezelés célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza, adatkezelőnek minősül.
Egy adatbázist több adatkezelő közösen is kezelhet.
A GDPR azt az esetet is tisztázza, amikor az adatkezelést az adatkezelő nevében más végzi. Ilyen esetben az adatkezelő kizárólag a megfelelő garanciákat nyújtó adatfeldolgozókat vehet igénybe.

Személyes adatnak minősül: azonosított vagy azonosítható természetes személyre (“érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

Így az elvégzendő feladat is részben jogi, részben technikai, szervezési, nem kis részben pedig számítástechnikai.

  • Adatkezelés – mozgatás (szerver – számítógép jogosultságok, vírusítók, szoftverek, okostelefonok, külső merevlemezek, pendrive-ok, titkosított és vagy digitálisan aláírt emailek, pdf-ek)
  • Adatmentés és titkosítás (NAS – jofogsultságok – fentartahatóság, emailek – webtárhelyek)
  • Hálózat védelem (router, tűzfal, jogosulstágok, szerverŰ)
  • Weblapok (SSL – webshopok – tárhelykiszolgálók )

Noha az új uniós rendelet nem szabályozza explicit módon az adattárolás technikáját, azt előírja, hogy az alkalmazott módszerek az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegyék lehetővé. A GDPR teljesítéséhez viszont módszertől függetlenül gondoskodni kell a személyes adatok megfelelő biztonságáról, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve (“integritás és bizalmas jelleg”).

Az adatkezelőnek az előírás szerint megfelelő technikai és szervezési intézkedéseket kell végrehajtani annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ezt nem csak a személyes adatok álnevesítése és titkosítása során szükséges megtenni, hanem gondoskodni kell a rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosításáról is.

Értékelni kell az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmazni. Ezek meghatározásakor figyelembe kell venni a személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat is.

Az új adatbiztonsági szabályozás az adatvesztés esetére is kitér. Incidens bekövetkezte után az adatokhoz való hozzáférést “kellő időben” vissza kell állítani, áll a GDPR leírásában. Ezen túlmenően az adatkezelőnek gondoskodnia kell a létrehozott adatvédelmi megoldás rendszeres teszteléséről, értékeléséről. Így biztosított ugyanis, hogy nem csupán egyszer megugrandó akadály lesz a GDPR bevezetése, hanem a rendelkezés betartása folyamatos feladattá válik.