Hírek

Hírek

A dühöngés kora lejárt

A dühöngés kora lejárt


Mindannyian átéltük már, hogy lejárt a jelszavunk, nem írhattuk be a nevünket jelszónak, a jelszóemlékeztetőnél fogalmunk sem volt a válaszokról, nem volt kedvünk megkülönböztetni a kis és nagybetűket, pillanatnyi értelmezést igényelt, hogy mik azok a nem alfanumerikus karakterek, amiket kér a rendszer.

Talán még a gépet is csapkodtuk, mert nem engedett be a kívánt felületre. Nos, a saját személyes adataira mindenki úgy vigyáz, ahogy akar.

Ha rád bízzák a személyes adatokat mások, akkor nincs választási lehetőséged, a lehető legmagasabb szintű védelmet kell nyújtanod. Akkor is, ha tökéletesen biztonságos rendszer nem létezik. 

Mi a célja a biztonsági intézkedéseknek?

Az, hogy véletlenül vagy jogellenesen

  • ne férjen hozzá illetéktelen személy az adatokhoz,
  • ne veszítsük el,
  • ne semmisítsük meg,
  • ne változtassuk meg,
  • ne hozzuk nyilvánosságra a személyes adatokat.

 

Mit ír a GDPR az adatbiztonságról?

Különböző biztonsági és szervezési intézkedéseket kell végrehajtanod annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantáld.

Mit vehetsz figyelembe a kialakítás során?

  • a tudomány és a technológia állását,
  • a megvalósítás költségeit,
  • az adatkezelés jellegét, hatókörét, körülményeit, céljait,
  • a természetes személyek jogaira és szabadságaira jelentett változó valószínűségű és súlyosságú kockázatot.

 

Nem elég, hogy ezt értened és alkalmaznod kell, még a tájékoztatásba is bele kell foglalni. A jó hír az, hogy a tájékoztatóba elég annyit írni, hogy pl. "Az adatkezelő a személyes adatok védelme érdekében megtette a megfelelő szervezési és biztonsági intézkedéseket."

Nem elég leírnod, tényleg meg kell tenned mindent. Vajon mi az a minden?

A Rendelet is nevesít intézkedéseket, de ezeket a szabályokat elsősorban az információbiztonsági szakemberek által fogod megismerni és az ágazati jogszabályokból.

A Rendeletben nevesített intézkedések:

  • a személyes adatok álnevesítése és titkosítása;
  • a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képességének biztosítása; 
  • fizikai vagy műszaki incidens esetén az arra való képesség biztosítása, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani;
  • a szervezési és technikai intézkedések rendszeres tesztelése, felmérése és értékelése.

Nem lehetetlenre kell vállalkozni. 

Ha léteznek ágazati szabályok a biztonsági rendszerek kiépítésére, ezeket már rég alkalmazod. Ilyen ágazati szabályra példa a határozatok anonimizálása közzététel előtt. Ha közzéteszek egy anonimizált határozatot, XY településről, ahol bírságban részesítettem az XY étterem tulajdonosát, hiába húztam ki az étterem nevét, ha csak egy étterem működik a településen. Tehát nem tettem meg a megfelelő intézkedéseket.

Ha webáruházat üzemeltetsz, azt úgy alakította ki a szoftverkészítő, hogy nem fér hozzá akárki a személyes adatokhoz. Be vannak építve a megfelelő biztonsági intézkedések. Mi a teendőd? Csak annyi, hogy a szerződésetekben vállalja a felelősséget erre. Nem kell hirtelen mindenkinek biztonsági szakemberré válnia, az egy másik, nagyon nehéz szakma.

A tárhelyeden biztosítva kell, hogy legyen a megfelelő védelem. A tárhelyszolgáltatók külön jogszabály miatt magas biztonsági követelményeknek felelnek meg, nem is tehetnének másképp. A tárhelyszolgáltatóddal amúgy is kötsz adatfeldolgozói szerződést, ezt bele kell foglalni. 

 

Mi a teendőd?

Az adattérképen nézd át, hogy hogyan és milyen formában tárolod a személyes adatokat. Majd gondold végig, hogy biztosan a legmagasabb szintű védelemmel láttad-e el? Pl. a laptopon tárolt adatokhoz hozzá férhet bárki jelszó nélkül? A pendrájvon tárolt adatokat biztosan nem veszíted el? Készítettél biztonsági másolatot a megőrzendő adatokról? A jelszavaid egyszerűek vagy nehezek?  Ugye nem fordulhat elő, hogy ugyanazt a jelszót használod mindenfelé? Nem is biztos, hogy a te rendszeredben keletkezik incidens, de ha más rendszerében megfejtik a jelszavadat vagy kikerül, az lavinaszerűen boríthatja a te rendszereidet is.

 

A bejegyzéshez illusztrációként haszbált kép forrása: Schutterstock