Hogy állunk a GDPR -el? A GDPR elmúlt két éve Európában és itthon

A GDPR-megfelelés nem egy kipipálható feladat, a cégek életében, hanem egy folyamatos erőfeszítéseket kívánó keretrendszer, amelynek alapja a jó biztonsági infrastruktúra és a munkatársak rendszeres képzése. Ezek a főbb megállapításai a Kingston Technology legújabb tanulmányának.

Forrás: Suzuki Világ

Forrás: Suzuki Világ

Az elmúlt években kibővültek a jogi osztályok, az adatvédelmi tisztviselők száma pedig elképesztő ütemben emelkedett. Bár az európai általános adatvédelmi rendelet a C-szintű vezetők, valamint a felhasználók figyelmét egyaránt felhívta az adat- és hálózatbiztonság fontosságára, a technológia és a kibertámadások állandóan változó jellege miatt a szervezetek egy pillanatra sem dőlhetnek hátra.

A kivétel (nem) erősíti a szabályt

Jelenleg több mint 500.000 adatvédelmi tisztviselő dolgozik Európában, ami hatszor több, mint amit a 2017-es előrejelzések jósoltak. Emellett megnőtt a külsős adatbiztonsági tanácsadók szerepe is, az adatvédelmi hatásvizsgálatok pedig ma már több ezer szervezet számára ismertek. Vannak azonban olyan ágazatok, például az egészségügy, az oktatás és a jog, ahol a feszített munkatempó, vagy a nagy mennyiségű bizalmas információ miatt a GDPR-megfelelés továbbra is nehézséget jelent. Nyilvánvalóan e területeken sem szabad megengedni, hogy a hatékonyság felülírja a biztonsági protokollokat. (A jótékonysági, civil szervezetek is gyakran hajlamosak azt gondolni, hogy mentesülnek a GDPR szabályai alól, pedig nem.)

A másik probléma, hogy hiába nő az adatvédelmi tisztviselők száma, néhány vállalat alábecsüli ennek a szerepkörnek a fontosságát. Egyes cégek dedikált munkatársak helyett inkább a technológiai szakemberekre bízzák ezeket a plusz feladatokat. Holott az adatvédelmi tisztviselő egy teljes munkaidős pozíció, és egy ilyen szakértőnek átfogó rálátással kell rendelkeznie a cég biztonsági és adatvédelmi tevékenységeire.

Kevesebb adat, nagyobb felelősség

A Kingston szerint a GDPR egyik legnagyobb hozadéka az lett, hogy a cégek egy része elkezdett tenni a túlzott adatgyűjtés ellen. Ma már a hatékony vállalatok az adatminimalizálás elvét vallják: amire nincs szükség, azt nem gyűjtik.

Az adatbiztonság kapcsán egyre fontosabb lett az is, hogy a nagyvállalatok megbizonyosodjanak a potenciális alvállalkozóik GDPR-megfeleléséről, mivel nem akarnak felelősséget vállalni a partnercégek hibájából történt adatszivárgási esetekért. A rendelet azonban nemcsak szervezeti szinten eredményezett tudatosságot, hiszen a felhasználók is egyre inkább tisztában vannak az adatvédelmi jogaikkal.

Megerősített IT-rendszerek

Az elmúlt években egyre több vállalat tette lehetővé alkalmazottai számára, hogy hetente néhány napot otthonról dolgozzanak, majd a koronavírus miatt egyik napról a másikra általános lett a home office. Elengedhetetlen azonban, hogy a szervezetek a hatékony munkavégzés támogatása mellett a szükséges biztonsági szabályokat is betartassák a dolgozókkal. Továbbra is vannak olyan rizikófaktorok, amelyeket a cégek sokszor alábecsülnek. Ilyenek a titkosítatlan, cserélhető adattárolók és az e-mailes csatolmányok, továbbá az olyan tevékenységek, mint például a jelszavak mentése vagy szinkronizálása. A rengeteg internethez kapcsolódó eszköz miatt pedig kritikus fontosságú, hogy a munkavégzésre használt mobiltelefonokon tárolt adatok is biztonságban legyenek.

A felmérés szerint a nagyvállalatok egyre szélesebb körben térnek vissza ahhoz, hogy saját adatközpontot használjanak, ahol teljes körű ellenőrzést gyakorolhatnak a szerverek felett. Emellett népszerűek a hibrid szerveres megoldások is, ahol a nem érzékeny adatokat a felhőben tárolják, a személyes információk viszont helyben maradnak. Ez a megközelítés azonban túl magas működési költséget ró a kkv-kra és a nonprofit szervezetekre, ezért az ő esetükben az adatbiztonság legegyszerűbb módja a hálózati védelem megerősítése, például jelszókezelők és kétlépcsős azonosítás alkalmazásával.

A GDPR-megfelelést nagyban segítheti az is, ha a cégek automatikusan megjelölik azokat az adatokat, amelyekre már nem érvényes az előírás. Ezáltal az IT-részleg létre tud hozni egy olyan rendszert, amely automatikusan generált e-mailt küld az adatvédelmi tisztviselőnek, amikor közeledik az adatmegőrzési határidő vége.

Nem elég egy-egy előadás

Ahhoz, hogy a vállalatok folyamatosan meg tudjanak felelni a GDPR elvárásainak, komolyan kell venniük a munkatársak adatvédelmi oktatását. A jó biztonsági stratégia egyik alappillére, hogy a cégeknek a saját kihívásaikra kell szabniuk a képzést, a másik pedig annak felismerése, hogy a GDPR szabályainak betartása a munkahelyi kultúrában gyökerezik.

“Az alkalmazottak rendszeres adatvédelmi oktatása nélkülözhetetlen üzleti szempontból. Ezt nem egyszerűsíthetjük le annyira, hogy évente egy alkalommal tartunk egy képzést. Sokkal inkább proaktív, interaktív és érdekes élménnyé kell tennünk, hogy a mindennapi munka részévé válhasson. Ennek keretében a munkavállalókkal párbeszédet kell kezdeményezzünk, hogy megfelelő módon ismertessük velük a biztonsági stratégiánkat” – mondta Sally Eaves, a Kingston Technology tanulmányának egyik szerzője.

Forrás: biztonsagportal.hu

No és az itthoni GDPR helyzet: egyre több a bírság

Meghaladta a 140 millió forintot a Magyarországon működő cégekre kiszabott GDPR bírságok együttes összege. Leggyakrabban a személyes adatok kezelésére vonatkozó elvet sértik meg a vállalatok, amiért az elmúlt mintegy másfél évben már 58 alkalommal büntetett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Forrás: Jóljárok Magazin

Forrás: Jóljárok Magazin

A legtöbb szervezet a mai napig késik a GDPR megfeleléshez szükséges IT-fejlesztések befejezésével, amivel további bírságokat kockáztatnak az EY tapasztalata szerint.

Esetenként átlagosan 2 500 000 forint értékben, eddig összesen 58 alkalommal szabott ki bírságot hazai cégekre a NAIH 2018. májusa óta az általános adatvédelmi rendelet megsértésért. Hazánk ezzel az egyik leggyakrabban fellépő ország Európa szerte Spanyolország, Románia, Németország és Bulgária mellett. 

Európában az eddigi legnagyobb, több mint 66 milliárd forintos bírságot a British Airways könyvelhette el, de szintén több tízmilliárdot kellett fizetnie a GDPR megsértése miatt a nemzetközi szállodaláncnak, a Marriott Internationalnek. “A számokból egyértelműen látszik, hogy véget ért a türelmi időszak. Míg 2018-ban mindössze 151 millió forint bírságot szabtak ki az európai adatvédelmi hatóságok, a tavalyi évben már a 130 milliárd forintot is meghaladta ez az összeg” – hangsúlyozta Zala Mihály, az EY információbiztonsággal foglalkozó vezetője. 

Leggyakrabban a személyes adatok kezelésére vonatkozó elvek megsértése miatt bírságolnak a hatóságok. Európában ezért 79 esetben szabtak ki büntetést a felettes szervek. Szintén gyakran vétenek a cégek az adatkezelés jogszerűsége (68 eset) és az adatkezelés biztonsága ellen (48 eset). 

A rendelet bevezetésekor a legtöbb cég megtette az alapvető intézkedéseket a megfelelés érdekében. Adatkezelési nyilvántartást vezetett be, elvégezte a szükséges hatásvizsgálatokat vagy oktatta például a dolgozóit. Ezt követően azonban sokan fellélegeztek, és továbbra is késnek a szükséges IT-fejlesztésekkel” – emelte ki Zala Mihály. 

A szakember szerint ez azért okoz jelentős kockázatot, mert a kiberbűnözők folyamatosan keresik azokat az elavult szoftvereket, amin keresztül könnyen és gyorsan lophatnak tömegesen személyes adatot. Egy sikeres támadás pedig, mint ahogy arra már hazai példát is láthattunk, nagyon gyorsan vezethet több tíz vagy akár százmillió forintos bírsághoz is.

Forrás: computerworld.hu

Kapcsolódó cikkek:

Hozzászólások