Legnagyobb tévhit a törvényi megfelelőség kialakításakor

Talán önben is felmerült már az a nyilvánvaló kérdés, hogy vajon ki tudja és milyen végzettséggel a törvényi megfelelést kialakítani, bevezetni? 

Jó lesz a rendszergazda, vagy inkább ügyvéd kell?

Azok a cégek, akik úgy gondolják, hogy vagy az informatikusok vagy az ügyvéd majd gondoskodnak az adatok védelméről, nagyon rossz úton járnak, ugyanis

a GDPR megfeleltetési folyamatokhoz szükséges szakértelmek aránya lényegesen összetettebb mint amit egy ügyvédtől vagy egy informatikustól alapvetően elvárhatunk. Minden oldalról plusz egyéb tudást igényel ez a feladat.

Ne tévesszük szem előtt azt az egyszerű tényt sem, hogy a törvény 173 preambulumból és 99 cikkből áll. Mikor megfelelésről beszélünk, akkor a törvénynek nem egy két pontjának megfelelésről van szó, hanem az összesről!

Szükséges szakértelmek összetétele, aránya

Egy törvényi megfeleltetési projektnél érdemes referenciákat kérni (tapasztalat miatt) és az alábbi képességeket igazoltatni!

  1. Információ biztonság (ISO 27001 vezető auditor, CISA, stb.),
  2. Kockázat manager,
  3. Adatvédelem (Adatvédelmi Tisztviselő, Jogi),
  4. IT üzemeltetés (ITIL),
  5. Lektorálás (jogi)

Jó lesz a rendszergazda, vagy inkább ügyvéd kell?

A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így ha egy cég vagy szervezet életében ezek védelme nem kap kiemelt szerepet, komoly veszélyek fenyegethetik nemcsak az ügyfeleiket, de magát a céget is. Éppen ezért vezették be a GDPR-t, vagyis az Egységes Európai Adatvédelmi Rendeletet, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait.

A GDPR-rel kapcsolatban az a rossz hír, hogy soha senki nem fogja tudni kijelenteni azt, hogy márpedig a szervezet 100 százalékig felkészült és a jogszabály minden pontjának megfelel. Ez azért van, mert a személyes adatok védelme – hasonlóan az információvédelemhez – egy kockázatalapú megközelítésen nyugszik: ahogy a szervezet, úgy a fenyegető tényezők is változnak. Mindössze annyi várható el, hogy a szervezet elfogadható kockázati szinten működjön. Ahogy nincs 100 százalékos biztonság, úgy nincs 100 százalékos GDPR megfelelés sem.

Azok a cégek, akik eddig is úgy gondolták, hogy a rendszergazda megoldja az adatok és információk védelmét, nagyon rossz úton járnak. A személyes adatok védelme, hasonlóan a szervezet egyéb információs vagyonának védelméhez nem az IT feladata, bár sokan úgy gondolják – ők azzal érvelnek, hogy hozzájuk áll legközelebb. Ez csak abból a szempontból igaz, hogy az adattárolókhoz és szerverekhez az informatikusok vannak a legközelebb, hiszen ezek fizikailag a gépteremben vagy a szerverszobában vannak.

A szervereken lévő adatokat, információkat és fájlokat azonban nem az informatikusok teszik oda és használják, hanem üzleti, szervezeti folyamatokon keresztül a teljes cég. Éppen ezért van a GDPR-ben is megfogalmazva az adatkezelő és az adatfeldolgozó közötti különbség: elsősorban az adatkezelő felel az adatokért, mivel ő dönt, ő határozza meg a kezelés módját. Az informatikus vagy programozó csupán adatfeldolgozó: nem ő mondja meg, hogy egy üzleti folyamatot támogató rendszer milyen funkciókkal és adatokkal működjön. Nem az informatikusok dolga – és nem is a jogászoké – annak eldöntése, hogy egy-egy személyes adat, vagy az azt kezelő rendszer mennyire fontos a szervezetnek és hogyan kell megvédeni azokat. Sok helyen az informatikára van ez a szerep kényszerítve, ám ez problémás: az IT saját működése mellett, a saját biztonsági szakértelme és kockázatérzékenysége szintjén fogja ezt a témát kezelni. Az adatok és információk védelme a teljes szervezetet át kell, hogy járja. Mi akkor a megoldás?

Az információvédelem egy külön szakma, ami tanulható, viszont egy szervezet nem tud egy tollvonással a megfelelő információ- és személyes adat védelmi szintjére ugrani. Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. Hasonlóan a DPO, vagyis adatvédelmi tisztviselő szerepköre mellett a vállalatoknak ki kell alakítaniuk egy információvédelmi felelősi szerepkört is. Ha ezt komolyan veszik, – és muszáj lesz nekik – ez előbb utóbb egy szervezetté fogja kinőni magát. A jövőben ezt mindenkinek szem előtt kell tartania, mert adatvédelmi incidens vagy a jogszabály megszegése esetén komoly büntetés várható.

Az első, és legfontosabb, amit tudnunk kell, az, hogy mit akarunk megvédeni. Fel kell mérni, hogy milyen személyes adatokat kezel a cég, milyen folyamatokban játszanak szerepet, ki fér hozzájuk, hol és milyen formában tárolódnak – a GDPR a papír alapú adatkezelésre is vonatkozik –, végül pedig tisztában kell lenni azzal, mennyi ideig kell ezeket megőrizni.

A személyes adatok kezelése, mint fogalom a jogszabályban megtalálható. A lényeg, hogy amíg nem ismerjük a szervezetünket a személyes adatok kezelése szempontjából, addig teljesen esélytelen a siker mind a jogi résznek való megfelelés, mind a személyes adatok megvédésére tett erőfeszítések tekintetében.