Emiatt kaphatnak bírságot rengetegen - május végétől jön a változás

A GDPR-ral, azaz az EU új adatvédelmi rendeletére két év volt felkészülni, mégis mindenki az utolsó pillanatra hagyta azt – többek közt erről is szó volt a Napi.hu Adatvédelmi checklist 2018 elnevezésű konferenciáján.
Dzindzisz Sztefan, 2018. március 27. kedd, 12:20
Fotó: Napi.hu

A magyar valóságban élünk, ahol mindenki az utolsó pillanatban nyújtja be az adóbevallását, így a GDPR-ral is kivárt mindenki - mondta Zala Mihály, az EY Magyarország kiberbiztonsági tanácsadó üzletágának igazgatója, a Nemzeti Biztonsági Felügyelet korábbi vezetője, aki szerint éppen ezért sok magyar cégnél óriási még a lemaradás.

A világ az utóbbi időszakban jelentősen átalakult, elég csak az okostelefonokra, vagy az áruházak hűségkártya-programjaira gondolunk, amikor egy-két forintért mindenki boldogan lehúzza a kártyát a boltokban. Ez a folyamat pedig egy sor kérdést felvett - vélte Zala. Ezzel párhuzamosan számos olyan szolgáltatás is megjelent az interneten, amely munkája során adatot kezel. Ennek a végeredménye a 2016-ban elfogadott és két év türelmi idővel kihirdetett GDPR, amely idén május 25-én lép hatályba.

A szakember szerint fontos kérdés, hogy a hatóság hogyan fogja tudni kezelni a várhatóan elszaporodó incidenseket, amiket az új szabályok szerint 72 órán be kell jelenteni. A személyes adat általában kedvelt célpontja a hackereknek, ráadásul elmondható, hogy a támadások 99,99 százalékát nem lehet lekövetni. A támadó az az érdeke, hogy folyamatos szerezzen információkat, azaz, nem 300 millió forintot fog egy helyről ellopni, hanem 100-200 forintokat sok helyről, ami vélhetően nem fog egy ideig feltűnni - mondta Zala.

Zala Mihály: a nem frissülő operációs rendszert szinte bárki feltörheti
Fotó: Böszörményi Edina

Amennyiben az informatikai hiányosságokról beszélünk, úgy jellemző példa az elavult operációs rendszer. "Sokan máig XP-t használnak, de a Win 7-8 is népszerű, pedig ezek az operációs rendszerek ma már rengeteg sebezhetőséggel rendelkeznek, hiszen nem frissülnek." - emelte ki az EY Magyarország kiberbiztonsági tanácsadó üzletágának igazgatója. Amikor megtalálják ezeket a sérülékenységeket, azok akár "óvódás szinten", azaz egy kezdő hacker számára is megtámadhatóak.

A szakember szerint éppen ezért érdemes képezni a munkatársakat, ezzel lehet ugyanis elmagyarázni, hogy ne nyissák meg a számlának álcázott sok megás fájlt, amire a legtöbben gond nélkül rákattintanak. Nem mindegy az sem, hogy van-e incidens menedzsment-terve a cégnek, hogy van-e kidolgozott rendszer arra, hogy mi a teendő baj esetén. Esetleg van-e egyáltalán olyan személy, aki ezzel a kérdéssel foglalkozik. Van-e mentése a cégnek az adatokról? - sorolta az eseteket Zala.

A munkáltató is adatokat kezel

A GDPR-ra való felkészülésnek pedig vannak munkaügyi vonatkozásai, erről pedig Tóásó Bálint, a KPMG Legal Tóásó Ügyvédi Iroda irodavezető ügyvédje beszélt a konferencián. "Bár sokan már világvége hangulatban vannak, de ha elszántság van, akkor még nem késő elkezdeni felkészülni." - indította előadását.

"Igen, a felkészülés pénzbe kerül és nincs tökéletes rendszer, de az úton el lehet indulni" - mondta Tóásó, aki szerint az, aki nem minden nap foglalkozik adatvédelemmel, az vélhetően csak kapkodja a fejét, hogy mi is van igazából a háttérben. Szerinte értékek háborúznak a szemünk előtt és a következő években dől el, merre megy a világ. Döntést kell hozni, hogy a magánélet, a privát szféra az érték-e, vagy feloldódunk a digitális térben, ahol minden adat elérhető és jóval testre szabottabb ajánlatokat kaphatunk a vállalatoktól.

Tóásó: két féle út létezik, hamarosan eldől, melyikre lépünk
Fotó: Böszörményi Edina

Amennyiben egy átlagos vállalatnak van 10-15 dokumentált folyamata, abból könnyű kiszűrni, hogy melyek azok a területek, ahol személyes adatokat is kezel a rendszer. Fontos tudni, hogy ezeket azt adatokat honnan, milyen jogalapon szerezzük be. Persze ezen tételek mind-mind pénzbe kerülnek, ahogy az is, ha a GDPR miatt módosítani kell az ügyfelekkel kötött szerződéseket, rosszabb esetben pedig le kell cserélni a beszállítót.

Bár a GDPR alapjában véve a digitális adatkezelésre fókuszál, a papír alapú dokumentumokra is vonatkozik - hívta fel a figyelmet Tóásó. Nemcsak az az incidens, ha az Anonimus feltöri a szervereimet, hanem az is, ha a pendrive fennmarad a BKV-járaton vagy a szél kifújja a személyes adatokat tartalmazó papírt az ablakon. Azaz sokszor az emberi hiba vezet az incidenshez - mondta az KPMG Legal Tóásó Ügyvédi Iroda irodavezető ügyvédje, aki szerint a munkáltatónak is érdemes azon elgondolkodnia, hogy miként és meddig tárolja a volt munkatársai adatait. "Ezt egyébként ügyfeleink legnagyobb része nem teszi meg" - mondta Tóásó, aki szerint vannak olyan információk, amiket akár 40 évig is meg kell tartani, de ennél is fontosabb, hogy le kell fektetni azokat az elveket, amik alapján a vállalkozás tárolja, illetve törli a kényes adatokat.

Az sem mindegy, hogyan reklámozzuk magunkat

A marketingtevékenységet végző brit cégeknek 41 százaléka nem volt tisztában az új szabályokkal, több mint felük számára kérdés volt, hogy időben meg tudnak-e felelni időben a GDPR bevezetésére - indította előadását Tóth János, a Faludi Wolf Theiss Ügyvédi Iroda partnere. Ezzel szemben a magánfél fogyasztók 92 százaléka mondta azt, hogy az adatvédelem és az adatbiztonság problémás terület, de sokatmondó adat az is, hogy 57 százalékuk nem hiszi, hogy a nagy brandek jogszerűen kezelik a személyes adataikat.

Nem mindegy tehát, hogy a jövőben a marketingesek milyen jogon kezelik az adatokat: az adatalany kifejezett és tájékozott hozzájárulásával vagy egyéb módon. Érdemes ezért mindig ellenőrizni, hogy valóban attól a személytől kaptuk-e az adatokat, akiről információkhoz jutunk. Legalább ennyire fontos, hogy mennyi ideig tárolja valaki az adatokat, azaz, indokolt ideig történt-e az adatkezelés.

Tóth: az új kontaktot már nem lehet automatikusan a marketinglistához adni
Fotó: Böszörményi Edina

Amennyiben marketing területen dolgozunk és ügyfeleink vannak és el akarunk adni bármit, akkor nagyjából mindenkit érint a GDPR - öntött tiszta vizet a pohárba a szakember. Fontos változások is jönnek: az e-maillel dolgozó marketing menedzserek például eddig, ha beesett egy új kontakt, úgy azt automatikusan hozzáadták az ügyfél marketing listához. Mostantól viszont kifejezett beleegyező nyilatkozat kell ehhez.

A legbiztosabb jogalap az adatalany hozzájárulása - emelte ki Tóth, aki szerint e nélkül nem fogjuk tudni indokolni egy hatósági vizsgálat során, hogy mi a jogalapunk az ő adatainak használatához. Ennek a hozzájárulási nyilatkozatnak érhető és könnyen hozzáférhető formában kell rendelkezésre állnia, nyelvezetének világosnak és érthetőnek kell lennie és nem tartalmazhat tisztességtelen feltételeket sem - sorolta a Faludi Wolf Theiss Ügyvédi Iroda partnere, aki szerint ez a gyakorlatban azt fogja jelenteni, hogy az ügyfeleknek sokkal több feltételt kell majd beixelniük egy ilyen eset során. Amennyiben nincs hozzájárulás, úgy a jogos érdek lehet még indok. Ennek természetesen relevánsnak és nem túl általánosnak kell lennie és egyensúlyban kell lennie az adatalany érdekével is - magyarázta Tóth.

Ugyanakkor a GDPR nem csak feladatokat ad a cégeknek, hanem egyfajta lehetőséget is. A hozzájárulás beszerzése kitűnő alkalom részletes adatalany preferenciákat beszerezni, ami alapja később a testre szabott megszólításnak. Az elfeledtetéshez való jog pedig egy átgondolt és egységes CRM rendszer felállításához kitűnő lehetőség a szakember szerint, míg a demonstrált átláthatóság erősíti a brand kötődést és elmélyíti a bizalmi kapcsolatot az ügyfelekkel.

HOZZÁSZÓLÁSOK