Azok a szervezetek, amelyek nyilvántartásszerűen személyes adatokat kezelnek és dolgoznak fel, 2018. május 25. után akár komoly büntetést is kaphatnak, ha alkalmazott gyakorlatuk nem felel meg az Európai Unió hatályos adatvédelmi törvényének, a GDPR-nak. Noha a tagországok adatvédelmi követelményeit harmonizáló jogszabály már 2016 májusától érvényben van, kötelezően májustól kell alkalmazni. Magyarországon a törvény betartásának felügyeleti szerve a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A szervezet fő feladata, hogy a tudomására jutott adatvédelmi incidenseket alaposan kivizsgálja és szankcionálja.
A maximálisan kiszabható bírság mértéke az Unió minden országában egységes és meglehetősen sokkoló: az éves árbevétel 4 százaléka vagy 20 millió euró. Természetesen korábban is ki lehetett szabni bírságot a szervezetekre a nyilvántartásukban szereplő személyes adatok sérülése, illetve illetéktelen kezekbe kerülése esetén, a GDPR-ral azonban drasztikusan megnő a büntetés mértéke. Igencsak kockázatosnak tűnik tehát, ha a vállalat ül a babérjain, és nem foglalkozik a problémával. Előfordulhat, hogy szerencséje lesz, és nem történik adatvédelmi incidens, de ha mégis, az beláthatatlan következményekkel járhat a vállalat jövőjére nézve. Éppen ezért szakértők szerint az érintett szervezeteknek alaposan meg kell vizsgálniuk személyes adatokat tartalmazó nyilvántartásaikat, valamint azok tárolását, kezelését, és - ha szükséges - igazítaniuk kell a GDPR-hoz.
Tudni kell, hogy a törvény mindazon szervezetekre vonatkozik, amelyek az Európai Unió állampolgárainak személyes adatait kezelik. Területi hatálya az Európai Unión belüli személyes adatok kezelése esetén az EU minden tagállamára kiterjed (azaz e feltételek teljesülése esetén Európán kívüli vállalatokra, például webshopokra is vonatkozik).
Ismerethiány és félelem
Általában nem állnak jól a felkészüléssel a hazai cégek - állapította meg a PwC Magyarország 2017 nyarán készített felmérése. A megkérdezett vállalatok mintegy negyede már hallott ugyan a rendeletről, de még nem tett semmit, illetve úgy véli, hogy rá nem vonatkozik a GDPR, mivel nem kezel személyes adatokat. Körülbelül ugyanilyen arányban vannak azok a cégek, amelyek már elkezdték a helyzet felmérését. A megkérdezett vállalatok 17 százaléka tisztában van a hiányosságaival, és tervezi a megoldásokat, 8 százaléka pedig már a megvalósítás fázisában jár. Mintegy 26 százalékra tehető azon vállalatok aránya, amelyek már elindították a megfelelési projektet, de még csak a legelején tartanak.
A felmérés készítői arra is kíváncsiak voltak, hogy a GDPR mely elvárásait tekintik a legkritikusabbaknak a cégek. A legtöbben (57 százalék) az adattörlések megvalósítását nevezték meg, a második helyre (50 százalék) az adatvagyonleltár naprakészen tartása, míg a harmadikra (34 százalék) a hozzájárulások tisztázása, frissítése került. Várhatóan többeknek fejtörést okoznak majd az olyan követelmények is, mint az incidenskezelési folyamatok átalakítása, a 72 órás bejelentési kötelezettség, az adatszivárgások megakadályozása, az adathordozhatóság megvalósítása, az adatkezelési szabályzatok frissítése vagy az IT-biztonság javítása.
A felelősség kérdése
Megoszlanak a vélemények abban a tekintetben is, hogy a vállalat mely szervezeti egysége vezesse a megfelelési projektet. A legtöbb cég jogi problémaként kezeli a megfelelőséget (41 százalék), ők értelemszerűen a jogi osztályt tekintik a feladat gazdájának. A 20 százalékot sem éri el azok aránya, akik szerint a feladatot dedikált projektszervezetnek kell ellátnia. Egy kisebb kör a megfelelőségi, illetve a biztonsági osztályt nevezte meg lehetséges felelősként. A megkérdezettek közül 10 százalék alatti arányban vezeti az IT-részleg a megfelelési projektet. Ez figyelemre méltó és egyben rossz hír, hiszen információbiztonság nélkül nincs GDPR-megfelelés.
- Néhány alapvető IT-biztonsági kérdés elnagyolt kezelése alááshatja a nyilvántartott személyes adatok megfelelő védelmét, az IT-biztonság szerepének negligálása tehát súlyos hiba - fogalmaz Gyimesi Csaba, a PwC vezető menedzsere.
Tipikus információbiztonsági hiba az infrastruktúra tagozódása, azaz amikor a különböző hardverelemeknél különböző "keménységű" védelmet alkalmaznak. Biztonsági rések jöhetnek létre a BYOD nyomán is, ha hiányzik a központi kontroll. Gyakori hiba, ha elmarad a kockázatelemzés, vagy az régi, már elavult prioritások alapján történik. Szintén nagyon elterjedt, hogy a munkatársak mobileszközeiken titkosítatlanul vagy gyenge védelemmel (például egyszerű jelszóval) tárolják az adatokat, az adathordozókat hanyagul kezelik. Egy pendrive elvesztését - ami biztonsági kockázatot jelenthet, vagy akár adatvédelmi incidenst okozhat - többnyire nem jelentik be, hanem csak egyszerűen kérnek/vesznek egy újat.
Elgondolkoztató, hogy az Európai Unióban csupán a cégek 48 százaléka tart biztonságtudatossági képzést. Pedig IT-biztonsági szempontból az ember a leggyengébb láncszem: ha valaki látható helyen tartja a jelszavát, nem alkalmaz titkosítást, bizalmas információkat oszt meg az interneten vagy nem zárja le a gépét, amikor elmegy a büfébe.
A pendrive mint veszélyforrás
- Tapasztalataink szerint a végpontok és a mobil adathordozók hanyag kezelése fokozott veszélyt jelent az adatvédelemre - hangsúlyozza Gyimesi Csaba. A PwC globális információbiztonsági felmérésének (PwC GSISS 2018) adatai szerint világszinten a mobileszközökkel kapcsolatos visszaélések okozzák az incidensek 28 százalékát. Az Európai Unióban a vállalatok 28 százaléka alkalmaz adatvesztést megelőző (DLP-) megoldásokat, míg világszinten ez az arány 35 százalék. Az EU-ban a vállalatok 44, világszinten 47 százalékának van a mobileszközökre vonatkozó biztonsági stratégiája.
- A GDPR értelmében az adatvédelmi incidenseket jelenteni kell. Incidens lehet például abból, ha valaki a vonaton hagyja a laptopját, a vállalattal kapcsolatban álló személyek adatait is tartalmazó okostelefonját vagy pendrive-ját, különösen, ha az nincs megfelelő védelemmel ellátva - mutat rá a PwC vezető menedzsere.
Az ellopott, elveszített pendrive-ok száma egyre emelkedik. 2017 nyarán a Kingston Technology felmérést készített az EMEA régióban és Magyarországon az USB-meghajtók használatáról. Ennek eredményei szerint a magyar vállalatok mintegy 60 százalékánál nem alkalmaznak megfelelő adatbiztonsági intézkedéseket a pendrive-okra. Kevesen titkosítják azokat, holott ez alapszintű biztonsági intézkedés. Ha a személyes adatokat tároló eszköz nincs titkosítva, elvesztése adatvédelmi incidensnek minősül, amit a GDPR értelmében be kell jelenteni.
A magyarországi válaszadók több mint fele ugyanazon a pendrive-on tárolja vállalati és magánjellegű adatait. A megkérdezett hazai vállalatok 36 százalékánál tűnt már el USB-meghajtó. Arra a kérdésre, hogy tárolnak-e bizalmas, érzékeny szakmai adatokat is az USB-kulcsokon, 25 százalék válaszolt igennel. A felmérésben részt vevő magyar felhasználóknak csupán a 11 százaléka használ hardveralapú titkosítást. A válaszokból az is kiderül, hogy a magyar vállalatok kétharmada tenne az adatbiztonságért, 34 százalékuk viszont semmilyen lépést nem tervez.
Végponti védelem
Ahhoz, hogy egy vállalat megfeleljen a GDPR-nak, többféle intézkedést kell hoznia. Dokumentálnia kell az adattároló megoldásokat, meg kell vizsgálnia a tárolt személyes adatok mennyiségét, fel kell mérnie az adatvédelmi kockázatokat, továbbá célszerű biztonsági házirendet bevezetnie a mobil adathordozók alkalmazásánál. A 250 fő feletti szervezeteknek adatvédelmi tisztségviselőt kell kinevezniük.
- Megítélésünk szerint a pendrive a leginkább alábecsült kockázati tényező. Azt javasoljuk a vállalatoknak, hogy adott esetben használjanak olyan pendrive-okat, amelyeket a legmagasabb szintű biztonságot igénylő adatok védelmére terveztek. A végponti védelem rendkívül fontos, jóllehet az alkalmazott hardver kétségtelenül némi plusz kiadást jelent. Következő lépésként a vállalati USB-kulcsok menedzselt használatát javasoljuk - mondta Kaszál Norbert, a Kingston Magyarországért és Szlovéniáért felelős üzletfejlesztési menedzsere.
