Jelentõs változásokra kell felkészülnie a hazai vállalatoknak
2017.03.23
A 2018 májusában hatályba lépõ egységes európai adatvédelmi rendelettõl, az az a GDPR-tõl leginkább azt várja a piac, hogy a vállalati ügyfelek nagyobb biztonságban tudhassák legfontosabb adataikat. Az EY Magyarország szakértõje arra hívja fel a figyelmet, hogy a GDPR rendeletnek való megfelelés nem kizárólag jogszabályi, sokkal inkább technikai kérdés is.

„A hazai vállalatok túlnyomó többsége még nincs felkészülve a GDPR rendelet által támasztott technikai követelmények teljesítésére. Azt tapasztaljuk ugyanakkor, hogy a legnagyobb cégek már elkezdték felismerni az új szabályok jelentõségét, és megkezdték a felkészülést.” – mondta el Zala Mihály az EY Kibervédelmi üzletágának igazgatója a GDPR szabály részleteirõl.

Az EY Globális Információbiztonsági felmérésének adatai szerint a vállalatok 67 százaléka számára a jogszabályi megfelelõség a legfontosabb motiváció az adatvédelmi beruházások elvégzésére. Így a tanácsadó vállalat arra számít, hogy a legtöbb cég itthon is a potenciálisan magas, akár az árbevétel 4 százalékát is elérõ bírság miatt fog belekezdeni a fejlesztésekbe. Ugyanakkor nem mindegy, hogy ki mikor vág bele a folyamatokba. Az EY becslése szerint ugyanis a GDPR szabályoknak való megfelelés minimum két hónap, de adott esetben akár egy egész éves folyamatot igényel.
Ennek oka, hogy ahhoz, hogy egy vállalat felkészülten várhassa a szabályok jövõ májusi hatályba lépését, számos új elvnek kell megfelelnie.

Elszámoltathatóság elve
Ilyen az elszámoltathatóság elve, ami megköveteli az adatkezelõktõl, hogy képesek legyenek aktívan igazolni megfelelésüket ahelyett, hogy csupán a hatóság vagy az érintettek visszajelzéseire várnak. Ennek megfelelõen innentõl kezdve minden esetleges támadásból származó kárért az adatkezelõ felel majd.

Álnevesítés és titkosítás
A rendelet elõírja, hogy a természetes személy neve helyett álnevet kell a tárolás és továbbítás során használni, valamint elõírja az adatok megfelelõ titkosítását is. Erre azért van szükség, hogy sikeres kibertámadás vagy egyéb incidens esetén ne közvetlenül és ne azonnal kompromittálódjanak ezen – tárolt vagy továbbított – személyes adatok.

Betekintéshez ás adathordozhatósághoz való jog
A rendelet 20. cikkelye szintén jelentõs változásokat hozhat: Az érintett jogosult lesz arra, hogy a rá vonatkozó, általa egy adatkezelõ rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja. Mindezeken túl a jelenlegi adatkezelõtõl kérheti ezen adatok továbbítását is egy másik adatkezelõnek. 

Felejtéshez való jog
Talán a legtöbb bizonytalanságot a felejtéshez való jog jelentheti a szakemberek és a vállalatok számára. Ennek oka, hogy az ehhez kapcsolódó jogszabályokat még folyamatosan pontosítják. A felejtéshez való jog a gyakorlatban azt jelenti, hogy amennyiben egy érintetett személy ezt kéri az adatkezelõtõl, akkor valamennyi személyes adatát törölnie kell minden eszközrõl, függetlenül az érintett korábbi hozzájárulásaitól. 

Zala Mihály a GDPR rendelet kapcsán még elmondta: „Valamennyi szereplõ arra számít, hogy az új rendelkezés és az ehhez kapcsolódó fejlesztések segítenek megszûntetni azt az „átjáróházat”, ami jelenleg Európát adatvédelmi szempontból jellemzi. A felkészülés, az alkalmazkodás jelentõs terheket róhat a vállalatokra, ugyanakkor az új, egységesebb és szigorúbb rendszer jelentõsen megnehezíti majd a kiberbûnözõk dolgát. A változást pedig maguk a fogyasztók is érezni és értékelni fogják.