Pánik helyett kockázatfelmérés és „változáskövetés”

Életbe lépett az egységes adatvédelmi jogszabály, a GDPR. Köztudottan a hazai cégek nagy része nincs felkészülve ennek alkalmazására, a folyamatos ellenőrzésre, és így a súlyos bírságok elkerülésére. Az információbiztonsághoz szorosan kapcsolódó témában szakmai irányadó KÜRT úgy tapasztalta, hogy még a legfelkészültebb nagyvállalatoknál is fel kell térképezni külső szemmel a kezelt személyes adatok körét, a kapcsolódó üzleti folyamatokat és az informatikai hátteret, kezdve az adatvédelmi kockázatok felmérésétől, azok folyamatos karbantartásáig.

Bár már most több milliárd forintot elköltöttek a cégek GDPR-ra, sokan mégsem foglalkoznak vele komolyságához és szankcióihoz mérten. Jelenleg a megfeleléshez három fő választási lehetőség áll rendelkezésre: az internetről könnyen beszerezhető félkész szabályzatgyűjtemények (ezek nélkülözik a konkrét szervezetre szabott intézkedéseket); a saját belső vagy külsős szakemberek által végrehajtott felkészülési projektek; és a már folyamatos megfelelést is támogató és arra koncentráló szoftverek, amelyekkel átláthatóbbá teszik az adatkezelést és jelentős időráfordítástól kímélik meg a szervezeteket. Ez utóbbi megoldást javasolják a KÜRT információbiztonsági szakértői, akik, a megfeleléshez szükséges, nehezen megbecsülhető erőforrásigények, valamint átláthatatlan követelmények problémájára is – tervezhető és delegálható keretek közé foglalt – alternatívát nyújtanak. Mindez a GDPR megfelelés adminisztratív terheinek kezelésére, az adatvédelmi tevékenységek kézbentartására is alkalmas.

A két évtizede szinte változatlan adatvédelmi joghoz képest szigorúbb új rendeletnek való megfelelés speciális szakértelmet igényel. Az információbiztonság elismert szakemberei egy unikális megoldásban összegezték az IT-, a jog és üzleti folyamatokszerint rendszerezett követelmények teljes jegyzékét, kialakították az adatvédelmi tevékenységekre (adatkezelésre, személyes adatvagyonra, it-rendszerekre és ezek kapcsolódására) vonatkozó nyilvántartásokat, de használatával elkészíthetők az adatvédelmi hatáselemzések és jelentések, továbbá az incidensek nyilvántartása is. Mindezt a KÜRT SeCube GDPR moduljába csoportosította.
 

Folyamatos és mindenre kiterjedő figyelem kell!A piacon léteznek különféle GDPR-megfelelésre fejlesztett megoldások, ám azok elsősorban szakterületi (informatikai, jogi) szempontokra koncentrálnak. A SeCube (egy jellemzően információbiztonsági és ún. compliance folyamatokat támogató rendszer) GDPR modulja komplexen kezeli mindezt; utat mutat a GDPR-előírások megfelelésében, támogatja a szükséges feladatokat, így naprakészen tartja a helyes adatkezelést és akár azonnal újraértékelhetők a kockázatok. A nagyvállalatoknál mindez azért fontos, mert igen nehéz különválasztani az IT-infrastruktúrát. A nagyvállalat humán oldalának is, és minden programnak, eszköznek támogatnia kell a megfelelést. Legyen az egy adatbázis, levelezés, nyilvántartás, vagy archiválás, stb. Mindezek jellemzően adminisztratív feladatok, melyeket érdemes szoftverben vezetni (pl. az adatvédelemben szerepet játszó kollégák be- és kilépése, IT-rendszerek fejlesztése, be- és kivezetése, kontrol- vagy adatbázis-környezet változás, adatkezelések fejlődése-változása). Nem elég az egyszeri kockázatelemzés, valamint a tevékenységlista utáni megfelelés, egyidejűleg szükségesek az újabb és újabb adatvédelmi hatáselemzések, a kockázatkezelések és a megfelelés-követés.

„Noha az Infotörvény a közeljövőben változik, ezzel várhatóan az érdekképviseletek véleménye beépül majd a hazai adatvédelmi szabályozásba, ugyanakkor a GDPR megfelelés elkerülhetetlen. A buktatók, nehézségek és a még megválaszolatlan kérdések mellett mindennek előnye is van: az adatvédelem egységes, nemzetközi keretek közékerülésével szemléletváltást hoz az adatok biztonságos és jól követhető kezelésében, elsősorban a gondos és tudatos, üzleti érdekeket szem előtt tartó, a piaci versenyt komolyan támogató vállalatok körében. Nekik ajánljuk szoftverünket, mely végig kíséri őket a megoldáshoz vezető úton és folyamatosan rajta tartja a szemét a megfelelésükön” – mondta Hámor Endre, az Adatvédelmi Kompetencia Központ vezetője. Majd hozzátette: minden vállalat belső rendszere más, ezért iparágat, tevékenységet, a vállalat összetételét és számos további szempontot is figyelembe kell venniük ahhoz, hogy kiderüljön, milyenek a cég igényei, kockázatai. A KÜRT GDPR know-how tehát nem egy általános sablonrendszer, ami mindenkinél futhat valahogy, hanem személyre szabottan működik. 

A KÜRT közel 30 év tapasztalata alapján fejlesztett megoldásának, a különböző speciális moduloknak köszönhetően a SeCube többfunkciós, így integráltan kezelhető a GDPR-on túl más, pl. a jelenleg is érvényben lévő IBTV vagy az ISO27001 előírásainak való megfelelés is.