Adatbiztonsági cikkek, hírek

Az a bizonyos adatvédelmi felelős

szept 20, 2018 | Adatbiztonsági cikkek, hírek

Az idén májusban életbe lépő GDPR egy adatvédelmi felelős kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a rendelet különleges jogokkal, kötelezetségekkel ruházza fel.

Gdpr 3442145

A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a rendelet vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.

 

Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.

Védett munkatársak

Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi felelőst megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.

Computer 3233754

Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz

 

Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A rendelet szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.

Új ember vagy régi ember?

Application 3426397

Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.

Több dudás

Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni.  Az adatvédelmi felelőssel szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.

Megfeleltető és tanácsadó egyszerre

Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.

A DPO feladatai

A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak

Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;

Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;

Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

Együttműködik az adatvédelmi felügyeleti hatósággal; és

Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Secret 3037639

GDPR tanácsadással, Adatmegsemmisítéssel és IT selejtezéssel kapcsolatban keressen minket!

3 + 7 =

Töröljünk vagy zúzzunk?

jan 4, 2018 | Adatbiztonsági cikkek, hírek

Nem kell az adathordozót fizikailag megsemmisíteni ahhoz, hogy a véglegesen és biztonságosan megszabaduljunk adatainktól. A minősített adattörlés választásával költséghatékony és környezetbarát módon szabadulunk meg az adatoktól.

A magyar vállalati kultúra kellőképpen érett ahhoz, hogy az üzleti döntéshozók megértsék, az üzleti adatokkal valamit kezdeni kell. Miután feldolgoztuk, elemeztük és átforgattuk őket a tárolás osztályrésze jut nekik. Arról már korábban írtunk, hogy esetenként az adattárolás költsége magasabb, mint az egyszeri minősített adattörlés. A törvényi szabályozás miatt vannak olyan adatok, melyeket nem tárolhatunk örökké, azokkal valamit kezdenünk kell. De ha a tervek szerint selejtezett számítógépek adathordozóira gondolunk, az is munkát ad nekünk adatkezelés terén.

Szerencsére a GDPR és a törvényi kényszer hatására a cégek megértették, miért kell az adatokat korszerűen, minősített módon megsemmisíteniük. Az viszont nem mindegy, hogy az adat megsemmisítésnek milyen módját választják a cégek. És mi közül választhatnak: a minősített adattörlés és az adathordozó fizikai megsemmisítése a két lehetséges opció (na jó, vagy egy harmadik út is, amikor egy nagy tüzet rakunk a vállalat udvarán és elégetjük az adathordozót, de ezt nehezen tudjuk dokumentálni, arról nem is beszélve, hogy veszélyes és komolyan szennyezi a környezetet).

Mikor zúzzuk szét az adathordozót?

Ebben az esetben a helyszínre megyünk, hordozható megsemmisítő berendezésünket magunkkal visszük. Azt is gyakran előírják, hogy milyen vastagságú szeletekre kell felvágni az adathordozót. A kisebb vastagságú csíkokból nehezebben rekonstruálható az eredeti adathordozó, bár a nagyobb csíkok esetében is sziszifuszi munkát és óriási erőfeszítést igényel a rekonstrukció. Az esetleg ily módon helyreállított adathordozóból a digitális adatok visszanyerése egyébként lehetetlen.

Fist 1148029

Az adathordozó fizikai megsemmisítése tehát a fizikai, látható bizonyítéka annak, hogy az adatok biztosan és helyreállíthatatlanul eltűntek. Míg sok cégvezetőnek ilyen fajta bizonyosságra valóban szükség van, a vállalat szempontjából indokoltabb és költséghatékonyabb, ha a minősített adattörlést választjuk.

Mikor válasszuk a minősített adattörlést?

A minősített adattörlés azt jelenti, hogy dokumentáltan, az adatokat felülírva töröljük üresre az adathordozót (az adatok felülírásának szükségességéről egy korábbi bejegyzésben már részletesen írtunk). Az adathordozó fizikailag nem semmisül meg, így használtan el lehet adni – akár alkalmazottjainknak, de mi is nyitottak vagyunk az üzletre.

Eraser 795624

Legtöbb esetben a minősített adattörlés költségét maga az adathordozó értéke állja, de olyan esetek is vannak, amikor még pluszban fizetünk is az adathordozóért. Vagyis amellett, hogy a vállalat környezetbarát, minősített módon töröli adatait, még plusz jövedelemhez is jut.

A minősített adattörlés esetében nem keletkezik elektronikai hulladék, amit kezelni kell és amitől szakszerűen meg kell szabadulni. Az adathordozót magába foglaló laptop vagy számítógép új életet kezd, így megóvtuk környezetünket a felesleges elektronikai hulladéktól. Környezettudatos cégként mindenképp vizsgáljuk felül szigorú szabályzatunkat, ha az az adathordozó fizikai megsemmisítését írja elő.

Ijesztő mértékű az adatszivárgás!

okt 25, 2017 | Adatbiztonsági cikkek, hírek

A Blancco saját kutatása ijesztő adatokat mutat ezen a téren. Az adattörlés piacán vezető cég szakértői online piacterekről vásároltak 120 használt merevlemezt és mobil eszközt. A használt merevlemezek 48 százalékán találtak felhasználható adatot. A mobileszközök 40 százaléka pedig több ezer email üzenetet, SMS-t, azonnali üzenetet, híváslistát, fotókat és videókat tartalmazott. Az uniós döntéshozók megalkották az egységes európai adatvédelmi törvényt, amely kezeli a tarthatatlan helyzetet. (tovább…)