Több mint 500 nagy, nemzetközi vállalat IT-felelősének megkérdezése alapján a Blancco Technology Group arra hívja fel a figyelmet, hogy az Európai Unió új adatvédelmi rendeletében (EU GDPR) megfogalmazott követelményeknek még sok vállalkozás nem felel meg. Az érintett vállalkozásoknál hiányoznak a felejtés jogának (right to be forgotten) szavatolásához szükséges eljárások, az adattörlési tevékenység nincs dokumentálva, és nem áll rendelkezésre a szükséges technológia sem.

A felmérésben 511 vállalat IT-vezetője vett részt a Nagy-Britanniában, Németországban és még hat országban. A kutatás a szervezetek 41 százaléka esetében tárt fel hiányosságokat.

„Mivel az EU GDPR megvitatása már négy éve zajlik az unió testületeiben, sokan arra számítottak, hogy a rendelet hatályba lépése elhúzódik, netán elsikkad. Csakhogy a tervezet most valósággá válik, és amint az Európai Tanács ratifikálja az új szabályozást, minden nemzetközi és magyar vállalkozásnak szembe kell néznie azzal, hogyan lesz képes majd megfelelni a követelményeinek” – mondta el munkatársunknak dr. Ormós Zoltán szakjogász.  

A felmérés eredményei szerint az új európai adatvédelmi rendeletet az informatikai vezetők 48 százaléka ismeri. Kétötödük úgy gondolja, hogy már valamennyire felkészült a követelmények teljesítésére, de hatoduk még nem talált eljárást az adatok megfelelő törlésére. Csaknem tizedük bizonytalan abban, hogy miként kezdje bele a folyamatba, másfélszer ennyien pedig egyáltalán nem tudják, hogy egyáltalán megfelelnek-e a rendelkezéseknek.

Petrányi-Széll András, a Blancco magyarországi kommunikációs vezetője hangsúlyozza: „A magyar adatok a tapasztalataink szerint ennél sokkal rosszabbak. Itthon csupán a vállalatok néhány százaléka van tisztában azzal, hogy megfelelő és minősített módszereket kell bevezetnie az adatok törlésére és az adathordozók selejtezésére, emellett az adatok törlését folyamatosan dokumentálnia is kell”.

A dokumentálás hiánya vagy az ügyféladatok olyan elavult módszerekkel történő megsemmisítése, mint egy merevlemez átfúrása, növeli az esélyét annak, hogy a vállalkozás vagy szervezet nem felel meg a GDPR követelményeinek. A felkészülést azonban el kell kezdeni, mert a moratórium 2018-ban lejár, akkortól pedig akár 20 millió eurós bírságot is kiszabhatnak a hatóságok.

A felkészülés idejét a Blancco felmérésében részt vett IT-menedzserek háromötöde legalább egy évre becsüli, negyede pedig megbecsülni sem tudta, hogy mennyi idő alatt lesz képes minderre.

A követelmények teljesítéséhez szükséges kellékek listáját 48 százalékkal a minősített adattörlési megoldások (szoftveres és hardveres eszközök) vezetik, ezt a titkosítás (26%), majd a vírusvédelem (10%) követi. A Blancco 12 lépéses cselekvési tervvel segíti az új adatvédelmi rendelet követelményeire történő felkészülést, mely a cég weboldaláról ingyenesen letölthető.

 

Az EU GDPR fő rendelkezései

Az Európai Unió új adatvédelmi rendeletének hatálya kiterjed minden olyan kis-, közepes és nagyvállalatra, valamint közigazgatási szervezetre, mely az unión belül adatokat kezel vagy dolgoz fel, valamint azokra a nem európai szervezetekre és vállalatokra is, melyek uniós állampolgárok adatait kezelik vagy dolgozzák fel. A rendelet szerint személyes adat minden olyan adat, amely egy személy privát, szakmai vagy közösségi életére vonatkozik. Így személyes adat a név, egy fotó, e-mail-cím, bankszámlaszám, postai cím, egy közösségi profil linkje, egy orvosi információ, de még a számítógép IP-címe is.

Az adatvédelmi felelős feladata, hogy rendszeresen és szisztematikusan monitorozza a rendelet hatálya alá eső adatok kezelését, gondoskodjék a szabályozás megtartásáról, és olyan munkafolyamatokat dolgozzon ki, melyek nem sértik az adatvédelmi irányelveket.

Kötelező lesz minden adatvédelmi incidens jelentése a hatóságoknak, beleértve a hackertámadásokat, és az olyan egyszerű eseteket is, amikor a volt marketinges magával viszi a cég hírlevél-adatbázisát, netán elveszett egy ügyféladatokat tartalmazó céges laptop.

A kiszabható büntetés maximuma 20 millió euró vagy a világszintű éves forgalom 4 százaléka közül a nagyobbik összeg. Így ha például egy magánklinika úgy selejtezi a számítógépeit, hogy azokról nem törli a betegadatokat, vagy egy középvállalat úgy javíttát egy okostelefont, hogy arról a telefont használó munkatárs családi fotói kimásolhatók, akkor bizony tetemes büntetésre számíthat.

Az új adatvédelmi rendelet végül előírja: minden személynek joga van ahhoz, hogy egy rendszerből adatait átvigye egy másik elektronikus rendszerbe, és ebben az adatok kezelője nem akadályozhatja meg. Az adatok kezelőjének ráadásul általánosan használt elektronikus formában, strukturáltan kell átadnia az adatokat, hogy azok a következő adatkezelő által könnyen hasznosíthatóak legyenek. Ilyen lehet például egy biztosítási adat: ha valaki 10 éven keresztül baleset nélkül vezette gépjárművét, akkor a biztosítónak át kell adnia az új biztosító számára az adatokat avégett, hogy a sofőr az új társaságnál is megkaphassa a bónuszokat. (A teljes tanulmány letölthető.)