Legyen hazai kis-, közepes és nagyvállalat, közigazgatási szervezet, az unión belül adatokat kezelő vagy feldolgozó európai szervezet és vállalat, ha uniós állampolgárok adatait kezelik vagy dolgozzák fel, akkor az Európai Unió új adatvédelmi rendelete kiterjed rá és jelenleg is hatályos.
Íme, néhány GDPR –al (General Data Protection Regulation) kapcsolatos fogalom és szabály, amit első lépésben érdemes megismerni.
Személyes adat fogalma: Az Európai uniós adatvédelmi szabályozás definiálja a személyes adat fogalmát. Minden olyan adat, amely egy személy privát, szakmai vagy közösségi életével kapcsolatos. Személyes adat a név, e-mail cím, bankszámlaszám, postai cím, egy fotó, egy közösségi profil linkje, egy orvosi információ, de még a számítógép IP címe is.
Az adatvédelmi felelős feladata: hogy monitorozza a rendelet hatálya alá eső adatok kezelését, és úgy szervezze a munkafolyamatokat, hogy ne sértsék az adatvédelmi irányelveket. Végigkíséri az adatok útját születésüktől az adathordozók törléséig, megsemmisítéséig. GDPR rendelkezése előírja, hogy minden adatkezelésre jogosult, köteles kijelölni adatvédelmi felelőst!
Adatvédelmi incidens: hackertámadást, de az olyan egyszerű eseteket is, amikor a volt marketinges magával viszi a cég hírlevél-adatbázisát, vagy ha elveszik egy céges tablet, laptop, kötelező lesz a megfelelő hatóságok felé jelenteni.
A kiszabható büntetés: maximum 20 millió euró vagy a teljes cégcsoportra vetített éves forgalom 2- 4 százaléka. Ezek közül a nagyobbik összeg. Így, ha például egy kórház úgy selejtezi le a számítógépeit, hogy azokról nem törli a betegadatokat, vagy nem gondoskodik a HDD-k megsemmisítéséről, esetleg egy középvállalat úgy ad le szervizelésre egy okos telefont, hogy arról a készüléket használó kollega privát fotói kikerülnek, amely megelőzhető lett volna adattörléssel, akkor igen jelentős büntetésre számíthat.
Adat migrálás joga: mindenkinek joga van ahhoz, hogy adatait átvigye egy másik elektronikus rendszerbe, és az adatok kezelőjének, ráadásul általánosan használt elektronikus formában, strukturáltan kell átadnia az adatokat, hogy azok a következő adatkezelő által könnyen feldolgozhatóak legyenek. Ilyen lehet például egy biztosítási adat: ha valaki tíz éven keresztül balesetmentesen vezette gépjárművét, akkor a biztosítónak át kell adnia az új biztosító számára az adatokat annak érdekében, hogy a sofőr megkaphassa az őt megillető bónuszokat.
Visszaállíthatatlan, dokumentált adattörlés vagy adatmegsemmisítés: Adatok, adathordozók dokumentált kivezetése fontos követelmény, amely az erre szakosodott adattörlő és adathordózó megsemmisítéssel foglalkozó cég közreműködését teszi szükségesé. Ezek a szolgáltatók minősített eljárással véglegesen és visszaállíthatatlanul törlik az adathordozókat. A hibás, nem törölhető merevlemezek, esetén fizikai megsemmisítésre van szükség.
Tehát ne feledjük, leselejtezett, elromlott berendezések esetében mindig gondoskodjunk az eszközökön található adatok jegyzőkönyvezett, minősített törléséről, a hibás merevlemezek feldarabolásáról, elkerülve az adatvédelmi botrányokat és a tetemes büntetéseket!