A General Data Protection Regulation minden EU-s tagállamban közvetlenül alkalmazandó, vagyis jellegét tekintve úgy működik majd, mint egy nemzeti törvény. Ugyanakkor a rendelet az egyes kérdések szabályozását tagállami hatáskörbe utalja, így ezekben az ügyekben a magyar Infotörvény továbbra is irányadó lesz – összegezte szakmai blogján az Invitech Solutions.

A GDPR az Európai Parlament és Tanács (EU) 2016/679 számú rendelete, amely a természetes személyek adatainak kezeléséről és védelméről szól. A benne foglaltakat mindenkinek be kell tartania, aki személyes adatokat kezel, legyen szó természetes vagy jogi személyről.

Milyen követelményeket állít a GDPR?

  • Beépített és alapértelmezett adatvédelem: az érintett cégeknek, szervezeteknek igazolhatóan meg kell tenniük a technikai és szervezési intézkedéseket a megfelelő adatkezelés érdekében.
  • Adatkezelési tevékenységek nyilvántartása: be kell kategorizálniuk a kezelt adatokat és össze kell gyűjteniük az adatkezelésre vonatkozó információkat.
  • Kiválasztás: ki kell jelölniük az adatvédelmi tisztviselőt.
  • Hatásvizsgálat: magas kockázatú adatkezelés esetén adatvédelmi hatásvizsgálatot kell végezniük.
  • Incidens bejelentése és nyilvántartása: például adatszivárgás vagy az informatikai rendszer feltörése esetén bejelentési és tájékoztatási kötelezettségük van a cégeknek, szervezeteknek, amit legfeljebb 72 órán belül meg kell tenniük. Ennek elmulasztása esetén a bírság nagymértékben megemelkedhet.

Miből áll a GDPR megfelelőségi vizsgálat?

Amennyiben a cég mérete, tevékenysége indokolttá teszi, javasolt külső szakembereket is bevonni az adatleltár, adattisztítás és a megfelelő dokumentációk kidolgozásának folyamatába. Különösen fontos ez akkor, ha a vállalatnál nem áll rendelkezésre a megfelelő jogi, informatikai szaktudás, vagy nincs rá elegendő kapacitás, hogy a cég szakemberei kellőképpen elmélyedjenek az új szabályozás részleteiben.

Az infokommunikációs vállalat a GDPR megfelelőségi vizsgálatot egy komplex megoldásban biztosítja a cégek számára. A megfelelőségi elemzés főbb lépéseit egy infografikai összefoglalóban is kigyűjtötték:

A külső szolgáltató által végzett vizsgálat része az alapnyilvántartás elkészítése, idesorolható az adatkezelések és adatfeldolgozások nyilvántartásának összeállítása és a GDPR szerinti adatbesorolás is. Következő lépés a kockázatelemzés, amely során a személyes adatvédelem szempontjából kritikusnak ítélt kockázatokat azonosítják és elemzik. A kockázatfelmérés nem egyszeri tevékenység, hanem javasolt a rendszeres időközönként történő megismétlése – emelte ki az Invitech Solutions.

Fontos a jogi követelményeknek való megfelelés is. Az alkalmassági audit során az adatkezelési előírások szempontjából kerülnek átvilágításra az adatkezelésben érintett belső dokumentumok, belső szabályzatok, iránymutatások, nyilatkozatok és szerződésminták. Végül pedig az IT-biztonsági konzultáció keretében a kockázatelemzési és a jogi vizsgálatok megállapításait az információtechnológia eszközeire vagy éppen konkrét IT-biztonsági megoldásokra fordítják le.