Már majdnem két év telt el azóta, hogy életbe lépett az európai adatvédelmi rendelet. Természetesen a GDPR-ra gondolunk. Hogyan befolyásolta ez a szabályozás a mindennapi gyakorlatot? Merült fel valamilyen probléma az utóbbi időben? Mindenki az online világra összpontosít, de mi a helyzet a papíralapúval? Tisztában vagy még vele, hogy kell megőrizni a nyomtatott dokumentumokat és melyik iratmegsemmisítő a megfelelő?
Lehetséges, hogy nem találkoztál még a GDPR (General Data Protection Regulation) mágikus rövidítésével. Ez egy olyan szabvány, amelyet az Európai Unió minden tagállamában alkalmazni kell, 2018. május 25-től ugyanis szigorúan szabályozzák a személyes adatok kezelését. A GDPR kissé torz magyar fordításban a személyes adatok védelmét jelenti.
Az általános rendelet fokozatosan reagál, ám már észrevehető a vállalatok digitalizálódása. Napjaink szempontjából az 1990-es évek elavult európai rendeletét váltja fel. Az új szabályok célja a magánélet fokozottabb védelme, valamint a fogyasztói bizalom és biztonság megerősítése.
A GDPR egyik fontos előnye az állampolgárok azon joga, hogy részletes információval rendelkezzenek személyes adataik elérhetőségét illetően. Ezeket az adatokat a cégek most átadhatják egymásnak. Alternatív megoldásként pedig teljesen törölni kell azokat.
A személyes adatokkal való visszaélés akár 20 millió eurós, vagy a vállalat éves forgalmának 4%-ával megegyező bírságot is eredményezhet. Egy ekkora összeg még egy jó pénzforgalommal rendelkező, megalapozott cég számára is likvidálható.
Annak ellenére, hogy számos vállalat az utolsó pillanatra hagyta a GDPR végrehajtását, általában mindenhol sikeresen ment vége. Például, az online boltoknak teljesen át kellett dolgozniuk a vásárlóik adatainak naplózását, a jelenlegi verzióra frissíteni a szoftverüket, és minimalizálni mindennek a vásárlókra gyakorolt negatív hatásait.
i
A személyes adatok védelmével foglalkozó Hatóság szerepe
A személyes adatok feldolgozására vonatkozó törvény értelmében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a személyes adatok védelmével foglalkozó hivatal. Fő feladata az általános rendelet és bizonyos személyes adatok védelmével kapcsolatos kérdéseket szabályozó egyéb rendeletek alkalmazásának nyomon követése és végrehajtása, azaz felügyeleti hatóságként történő fellépés, valamint a nyilvánosság figyelmének felhívása a személyes adatok védelmére.
A nagyobb intézményekben, amelyek széles körű személyes adatfeldolgozási ütemtervet dolgoztak ki, új adatvédelmi tisztviselő (DPO) pozíciót kellett létrehozni. Bankokról, mobilszolgáltatókról, kórházakról, iskolákról és egyebekről van szó. Az adatvédelmi tisztviselőknek a társaságon belül az összeférhetetlenség elkerülése érdekében viszonylag független személynek kell lenniük. Utólag visszatekintve, az adatvédelmi tisztviselők gyakran a biztonság területére szakosodott volt informatikai alkalmazottak, akiknek van némi rálátásuk a jogi dolgokra. Számos különféle cég alkalmaz könnyedén ilyen adatvédelmi tisztviselőket részmunkaidőben.
Számos vállalat még a mai digitális korban is dolgozik nyomtatott adatokkal. Az viszont a gyakorlatban derült ki, hogy a másképp tárolt, dokumentumokkal teli mappákat szekrényekbe kell zárni.
Nézzük meg, hogy mi számít személyes adatnak a GDPR szempontjából.
Ez azt mutatja, hogy minden egyes vásárlótól nagy mennyiségű adat gyűlik össze. Ha megfelelően beállított információs rendszered van és főleg a digitális világban működsz, például az adatok teljes törlésére vonatkozó kérelem már nem lehet meglepetés a számodra. Azonban a kinyomtatott dokumentumok gondot okozhatnak, biztonságos megsemmisítésükhöz pedig tanúsított iratmegsemmisítőre lesz szükséged.
Az érzékeny személyes adatok kiszivárgásának elemzésekor a papíralapú dokumentumokat rendkívüli kockázatnak kell tekinteni. A munkavállalók vagy betegek személyes, vagy orvosi adatait tartalmazó nyitott és nem biztonságos dokumentumai pontosan ugyanolyan incidenst okozhatnak a GDPR területén, mint az elektronikus adatok kiszivárgása.
A vállalatnak egyértelmű szabályokat kell hozniuk minden olyan alkalmazott számára, aki az ilyen típusú dokumentumokat kezeli, beleértve az úgy nevezett megsemmisítési szabályokat is. Természetesen, sok fizikai dokumentumot évekig biztonságos módon kell mappákban tárolni, ám ezek nagy része egy bizonyos idő után vagy az ügyfél kérésére megsemmisíthető.
A GDPR szerint gyártott, tanúsított széfek
A minőségi iratmegsemmisítő mellé a GDPR szerint gyártott, tanúsított széfek beszerzésére is szükség lesz. Épp ezért a nyomtatott dokumentumok biztonságos kezelése egy másik kritikus pont, amelyre nem csak a nagy kórházaknak, de a helyi hatóságoknak vagy a városodban található iskoláknak is oda kell figyelniük. Mi azt javasoljuk, hogy fontold meg egy biztonsági zárral ellátott széf beszerzését. A modern irodai széf okosan kialakított belsővel rendelkezik, beleértve a fontos iratok tárolására alkalmas, különálló rekeszeket.
A megfelelő és tisztességes aprítás a GDPR szempontjából az egyik legjobban ellenőrzött terület. Egy nagy teljesítményű és minőségi iratmegsemmisítő megvásárlásával megakadályozhatod, hogy megbízható munkavállalóid ezzel töltsék az idejüket a fontosabb feladatok helyett. A környezet méretétől függően a megfelelő készülék kiválasztásával rengeteg munkaidőt spórolhatsz meg.
Az elmúlt néhány hónapban meglehetősen sok olyan jelentős helyzet állt elő, amely hatással volt a személyes adatok védelmére 2020-ban. Összegyűjtöttük azokat, amelyek kulcsfontosságúak a számunkra, és figyelembe kell vennünk őket.
A Microsoft 2020. január 14-én felhagyott a népszerű Windows 7 operációs rendszer támogatásával. Nem meglepő, több mint 10 év működés után egyszerűen szükség volt erre a lépésre. A hiányzó biztonsági frissítések azonban a rosszindulatú hackerek, vírusok, trójaiak, rosszindulatú és zsarolóprogramok malmára hajtja a vizet. A fontos alkalmazások funkcionalitásában legkésőbb a jövő évben szintén fokozatos csökkenés várható - a webböngészők még körülbelül 18 hónapig fogják támogatni a Windows 7-et. Hasonló lépés várható az antivírus rendszerek gyártóitól is. Összességében ezek egyáltalán nem olyan jó kilátások.
Amennyiben még mindig Windows 7 rendszerű számítógépet vagy laptopot használsz, ne felejtsd el, hogy személyes adataiddal meglehetősen egyszerű visszaélni. Ezért nagyon fontos, hogy Windows 10-re frissítsd a rendszert, vagy szerezz be egy új eszközt.
Elsőre hihetetlen hírnek tűnt, ám később hivatalosan is megerősítették. Az Avast, a biztonsági és vírusirtó szoftvereket gyártó cseh cég névtelenül gyűjtött felhasználói adatokat a böngészési előzményekben, majd később leányvállalatán, a Jumpshot-on keresztül eladta azokat. A becslések szerint ez megközelítőleg 100 millió felhasználót érint.
A londoni és prágai tőzsdék részvényei rövid idő alatt több, mint egyötödöt veszítettek, miután a PCMag és a Motherboard a közös nyomozást követően rávilágított a felhasználói adatokkal kapcsolatos problémára.
Az Avast azonban elég gyorsan reagált és február elején be is zárta a Jumpshot-ot. Emlékezzünk az Avast vezérigazgatójának, Ondřej Vlaček nyilatkozatára: "Az emberek védelme az Avast legfontosabb prioritása és mindennek a része, amit teszünk. Minden más elfogadhatatlan. Épp ezért, az igazgatósággal együtt úgy döntöttünk, hogy haladéktalanul véget vetünk a Jumpshot adatgyűjtésének, és ezzel együtt a cég működésének is."
A koronavírus világjárvány kirobbanása miatt sok vállalat rendelte el munkavállalói számára a home office munkarendet. Számos előnye ellenére az otthoni munkavégzés kockázatokkal is járhat. Például, egy nem megfelelően védett laptop, amely távolról csatlakozik a vállalati hálózathoz. Az Alza épp ezért rövid távú laptop-bérlést tesz lehetővé, ám mindenképp ajánlott egy vírusirtó szoftver beszerzése, hiszen a zsarolóprogramok most sem alszanak.
Még az otthoni környezetben is fontos a számos írott és íratlan szabály betartása. Például, ha érzékeny adatokat tartalmazó papíralapú dokumentumra van szükséged a munkádhoz, akkor nagyon kell rá vigyáznod. Nincs annál rosszabb, mint amikor home office után egy héttel vissza akarod vinni az irodába ezeket a fontos iratokat, ám a fele hiányzik.
i
Mi nem hiányozhat egy irodából? Például a falióra.
Ha érzékeny adatokkal dolgozol, akkor egyszerűen a legmodernebb felszerelésre van szükséged. Ebben segíthetünk: például távolról újratelepíteni a Windows 10-et a számítógépeden, úgy, hogy az adatok és alkalmazások is megmaradnak. Vagy egyszerűen csak rendeld meg a Microsoft szoftver telepítését otthonra vagy a munkahelyre. A jó öreg Microsoft Office 2007 irodai programcsomagról is le kell mondanod, hiszen támogatása 2017.10.10-én megszűnt. A vállalkozások számára javasolt megoldás a Microsoft Office 365 Business Premium-ra, egy olyan modern programcsomagra történő áttérés, amely magában foglalja a professzionális Exchange levező megoldást. Ezen felül mindent azonnal és maximális biztonsággal frissítünk.
Személyes adataid biztonságos tárolásra érdekében a vállalati szerver esetében is elkél némi változtatás, és ha esetleg még nem titkosítottad az érzékeny adataidat, akkor minél hamarabb meg kell tenned. Talán érdemes emiatt professzionális NAS hálózati adattárolót alkalmazni, ahol a titkosítás telepítése viszonylag egyszerű. A felszerelésedből továbbá egy minőségi Windowsra vagy mobilra alkalmas vírusirtó sem hiányozhat.
A GDPR rendelet teljes szövege az eur-lex-europa.eu weboldalon érhető el.
A GDPR a General Data Protection Regulation, vagyis az általános adatvédelmi rendelet rövidítése.
Az angol nyelvű Wikipédián átfogó információkat is találhatsz róla: General Data Protection Regulation (GDPR)
A GDPR magyar fordítása PDF formátumban a https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32016R0679&from=HU weboldalon található meg.
A GDPR 2018. május 25-én lépett hatályba.