Az elmúlt évben az Európai Unió új adatvédelmi rendeletével érintett vállalatok közel fele kapott az ügyfeleitől adattörlési kérelmeket, több mint 40 százalékuk még nem alakította ki a megfelelő törlési és dokumentációs eljárásokat.
511 globális vállalat IT menedzserének megkérdezése alapján a Blancco Technology Group arra hívja fel a figyelmet, hogy az Európai Unió új adatvédelmi rendeletében (EU GDPR) megfogalmazott követelményeknek még sok vállalkozás nem felel meg. Az érintett vállalkozásoknál hiányoznak a felejtés jogának (right to be forgotten) biztosításához szükséges eljárások, az adattörlési tevékenység nincs dokumentálva, és nem áll rendelkezésre a szükséges technológia sem.
Az Európa nyugati felén végzett kutatás, a szervezetek 41 százaléka esetében tárt fel hiányosságokat.
„A magyar adatok a tapasztalataink szerint ennél sokkal rosszabbak. Itthon csupán a vállalatok néhány százaléka van tisztában azzal, hogy megfelelő és minősített módszereket kell bevezetnie a különböző adatok törlésére és az adathordozók leselejtezésére, emellett az adatok törlését folyamatosan dokumentálnia kell” – mondja Petrányi-Széll András, a Blancco magyarországi kommunikációs vezetője.
Alapvető probléma, hogy mai vállalati kultúrának nem része az adatkezelés kérdésköre. A GDPR bevezetése ezen hozzáállás gyökeres változtatását igényli. Ha nyomokban fellehető is volt törekvés – legtöbbször helytelen módszerekkel, pld. szöggel átvert merevlemezek – az adatok megsemmisítésére, a dokumentálás hiánya szinte minden esetben jellemző volt.
A felkészülés időigényét a Blancco felmérésében részt vett IT menedzserek 60 százaléka legalább egyévnyire becsüli, 25 százalékuk pedig megbecsülni sem tudta, hogy mennyi idő alatt tudja kialakítani a szükséges folyamatokat és beszerezni a megfelelő technológiát.
A felkészülés önerőből – az érintett területek nagysága és a speciális ismeretek szükségessége miatt – szinte lehetetlen feladat. Ajánlott a folyamatot menedzselő szakjogászok segítségét kérni.
A megfelelő adatkezelési metódus kialakítása mellett több részfeladat vár még a vállalatokra. Íme, néhány a teljeség igénye nélkül!
Megfelelően kell kezelniük ügyfeleik, partnereik, de még dolgozóik adatait is. Figyelmet kell fordítaniuk az IT eszközök javítása, illetve selejtezése esetén felmerülő adatszivárgási lehetőségekre. Az adatok dokumentált kivezetésének feltételeit a GDPR (General Data Protection Regulation) szabályozza, ezért szükséges lehet, a minősített adattörlést és adathordozó megsemmisítést elvégző, szakértő partner bevonása is.
Ne feledjük! A dokumentálás hiánya vagy az ügyféladatok olyan elavult módszerekkel történő megsemmisítése, mint egy merevlemez átfúrása, növeli az esélyét annak, hogy a vállalkozás vagy szervezet nem felel meg a GDPR követelményeinek. A felkészülést azonban el kell kezdeni, mert a moratórium 2018-ban lejár, onnantól pedig akár 20 millió eurós bírságot is kiszabhatnak a hatóságok.
