GDPR röviden

2019-10-12 18:00

Valószínűleg már mindenki találkozott a GDPR mozaikszóval. Ez az Európai Unió adatvédelmi rendeletének rövidítése.

 
Mit is jelent az adatvédelem? Gondoljunk a pénzünkre. Egyértelmű, a pénzre vigyázni kell. Megfelelő helyen tároljuk (pl. bankban, széfben, zárható szekrényben) és korlátozzuk, ki férhet hozzá. Banki pénzünk hozzáférhetőségét jelszóval védjük. Ha meglopnak, feljelentést teszünk. Ez mindenki számára természetes. Ugyanez vonatkozik az adatokra. Ha illetéktelenek kezébe kerül más személyes adata, kellemetlen helyzetbe kerülhet, bosszúságot vagy komoly anyagi áldozat okozhat neki. Elég arra gondolni, hogy valaki olyan szerzi meg a telefonszámot, e-mail címet, aki kéretlen reklámokat vagy vírust küld. Hát ennek elkerülésére hozták létre ezt a rendeletet.
 
Ha már értjük a rendelet értelmét, akkor nézzük, nekünk mit kell tennünk ezzel kapcsolatban. Az első feladatunk megérteni. Bár a nagy informatikai cégek miatt hozták létre a rendeletet (Facebook, Google, stb.), azért ez ránk is vonatkozik. Nekünk is van saját és más személyek, cégek adatai. És mi is fizethetünk komoly büntetést, ha hibázunk. A bírság mértéke az árbevétel 4%-a, maximum 20 millió euró.
 
Minden vállalkozásnak kell adatvédelmi szabályzatot készíteni! Ez alól jelenleg nincs kivétel. Ebben kell feltüntetni, milyen adatokkal rendelkezünk, szabályozni, kik férhetnek hozzá és hogyan, hol őrizzük. Ha történik „incidens”, ennek bejelentésének módját is itt kell rögzíteni.
 
Most értünk el ahhoz, ahol tisztázni kell néhány fogalmat:
adatkezelő: aki meghatározza az adatkezelés célját, módjait
adatfeldolgozó: aki az adatkezelő megbízásából az adatokat kezeli
adatvagyon: személyes adatok elég tág köre. Teljesség igénye nélkül a természetes azonosítóink (anyja neve, szül. hely, idő, stb.), telefonszámok, e-mail címek, biztonsági kamerák felvételei, fényképek.
incidens: amikor személyes adatok elvesznek, megsemmisülnek, megváltoznak vírus miatt, jogosulatlan (hacker) kezébe kerül, stb. Ezt az incidens észrevételét követő 3 napon belül be kell jelenteni a NAIB-nak. Pl. ellopják a mobiltelefont, laptopot, személyi számítógépet, feltörik a weboldalt és hozzáférnek személyes adatokhoz.
 
Ha már értjük a rendelet célját, eldöntöttük, kik vagyunk (adatkezelők, adatfeldolgozó vagy mindkettő) nézzük mi a teendőnk.
  1. Fel kell mérni az adatvagyont (megnézni milyen típusú adatokkal rendelkezünk, hol vannak).
  2. Meghatározni, ki férhet hozzá.
  3. Milyen biztonsági intézkedéseket kell tennünk az adatvagyon védelmében.
  4. Mindezt szabályzatban rögzíteni.
  5. Évente oktatást tartani az érintett alkalmazottak részére.