A személyes adatok védelme terén az Európai Unió Általános Adatvédelmi Rendelete, angol nevén a GDPR (General Data Protection Regulation) az elmúlt két évtized legjelentősebb változását hozza. A korábbi adatvédelmi irányelv (Data Protection Directive 95/46/EC) helyébe lépő GDPR célja, hogy az adatvédelmi törvények összehangolásával Európa-szerte védje és erősítse a polgárok magánélethez való jogát, és rávezesse a szervezeteket, hogy a személyes adatokat ennek megfelelően kezeljék. A rendelet értelmében személyes adatnak minősül minden információ - például név, fotó, email-cím, közösségi hálón közzétett tartalom, orvosi lelet vagy IP-cím -, amely alkalmas valamely természetes személy közvetlen vagy közvetett azonosítására.
Négyéves előkészítő munkát követően az Európai Parlament tavaly áprilisban fogadta el a GDPR-t, így a rendelet, miután közzétették az unió hivatalos közlönyében, már hatályba lépett. A szervezetek 2018. május 25-ig kaptak haladékot adatkezelési gyakorlatuk átalakítására, azt követően súlyos pénzbírságra számíthatnak, ha nem tudják igazolni, hogy megfelelnek a GDPR követelményeinek. A büntetés összege elérheti a vállalat éves bevételének 4 százalékát vagy a 20 millió eurót, attól függ, hogy melyik összeg a nagyobb.
A világ más térségeiben bejegyzett szervezeteknek szem előtt kell tartaniuk, hogy a GDPR minden vállalatra vonatkozik, amely uniós állampolgárok adatait dolgozza fel, egyetemes érvényű előírás, rendelkezéseinek betartása nemzeti szintű jogalkotás nélkül számon kérhető az EU határain kívül is.
Technológián innen és túl
Jóllehet a GDPR-megfelelés elérése és tanúsítása sok szervezetet komoly kihívásokkal szembesít, a rendelkezés betartásához azonban olyan technológiai környezetet kell kialakítaniuk, amely a követelmények tekintetében szorosan követi az információbiztonság és általában a törvényi megfelelés eddigi, bevált gyakorlatát - írja a Citrix fehér könyvében (Achieve GDPR Readiness with Secure App and Data Delivery).
Felelősségteljes hozzáállást és elszámoltathatóságot követel meg a GDPR az uniós állampolgárok adatait kezelő szervezetektől, például kötelezi őket az adatszivárgás kockázatainak csökkentésére, illetve az észlelt adatszivárgás tényének 72 órán belüli jelentésére. Kiszélesíti a rendelkezés ugyanakkor az "adatalanyok", azaz a személyek jogait, hogy fokozottan ellenőrizhessék adataik gyűjtését, kezelését, tárolását és felhasználását, továbbá rendelkezhessenek többek között azok névtelenítéséről is.
A GDPR értelmében a magánszemélyek joga, hogy hozzáférjenek a róluk gyűjtött és tárolt
személyes adatokhoz, kijavítsák a pontatlanságokat, pótolhassák a hiányosságokat, rendelkezzenek a feleslegessé vált adatok törléséről, korlátozzák adataik felhasználhatóságát, és panasszal éljenek, ha elégedetlenek az adataik kezelésével - függetlenül attól, hogy azokat maguk szolgáltatták, tranzakciós rendszerek őrzik, vagy webböngészők és közösségimédia-platformok gyűjtötték róluk, illetve valamilyen összetett feldolgozási folyamat eredményeként jutottak egy szervezet birtokába.
Mindebből kitűnik, hogy a megfelelés érdekében a szervezetek működésében és üzleti gyakorlatában az informatikai környezettől független átalakításokra is szükség lesz. A felhasználói szerződések hírhedt, földi halandó számára értelmezhetetlen szövegét például a jog bikkfanyelvéről a hétköznapi beszéd természetes nyelvére kell fordítaniuk, hogy mindenki biztosan megértse, mihez járul hozzá, amikor az Elfogadom gombra kattint. Ugyanilyen egyszerűvé és világossá kell tenniük a vállalatoknak a szerződés felbontását és ezzel a személyes adatok törlését is, ha a magánszemély utóbb meggondolná magát.
A GDPR-megfeleléshez szükséges fejlesztések másik része IT-vonatkozású, de az idén márciusban közzétett felmérés szerint, amelyet a Ponemon Institute készített a Citrix megbízásából, sok szervezet - noha aggódik a várható következmények miatt - a közelgő határidő ellenére még mindig halogatja a vonatkozó projekteket.
Felkészületlen vállalatok
Világszintű felmérésében (The Need for a New IT Security Architecture: Global Study on Compliance Challenges & Security Effectiveness in the Workplace) a Ponemon Institute azt vizsgálta, hogy az új technológiák megjelenésével érkező, a kiberbűnözést kísérő és a törvényi környezet változásából adódó IT-biztonsági kockázatok hatékony kezelése érdekében a szervezeti működés szabályozását és gyakorlatát miként kell továbbfejleszteni. A piacelemző tizenöt országban 4268 IT-vezetőt és információbiztonsági szakembert kérdezett meg; az Európai Unióból Hollandiára, az Egyesült Királyságra, Franciaországra és Németországra terjedt ki a kutatás.
Bár a válaszadók 67 százaléka nyilatkozott úgy, hogy tisztában van a GDPR követelményeivel és a jövő májusi határidővel, a felmérésben szereplő vállalatoknak csupán a fele különített el pénzügyi keretet a rendelkezés betartásához szükséges fejlesztésekre, és kezdte meg a felkészülést.
A GDPR-megfeleléssel összefüggő kockázatok közül válaszadók 65 százaléka első helyen a várható pénzbírság súlyosságát emelte ki. Sokukat (53 százalék) aggasztja, hogy a rendelkezés az Európai Unión kívüli szervezetekre is érvényes, míg 38 százalékuk szerint problémák adódhatnak a magánszemélyek adatfelhasználásra vonatkozó egyértelmű hozzájárulásának begyűjtése körül is.
A megkérdezettek 38 százaléka lát kockázati tényezőt az ügyfélprofilozást és a célzott hirdetést érintő új korlátozásokban, míg 28 százalékuk tart attól, hogy bonyodalmakhoz vezet az adatalanyok rendelkezési jogának kiterjesztése. A válaszadók 27 százaléka ítéli kockázatosnak az adatszivárgás kötelező bejelentését, 22 százaléka véli úgy, hogy a GDPR miatt vállalata ügyfeleket fog veszíteni. A kutatás során megkeresett vezetők és szakemberek csupán 17 százaléka jelentette ki, hogy a szervezet, amelyet képvisel, teljesen felkészült az unió általános adatvédelmi rendeletével érkező változásokra.
Zsigeri biztonság
Érthető a szervezetek aggodalma, tekintve, hogy a GDPR követelményrendszere milyen szerteágazó, és a megfeleléshez mind szervezeti, mind technológiai átalakításokra szükség lesz, mutat rá fehér könyvében a Citrix. Szervezeti oldalon - a már említett feladatokon túl - erőforrásokat kell rendelni az adatkezeléssel összefüggő tevékenység naplózásához, a magánszemélyek adatkezelésre vonatkozó kérdéseinek megválaszolásához,
rendelkezéseinek végrehajtásához. A kormányzati intézményeknek, valamint a kiterjedt és módszeres monitorozással, továbbá a személyes adatok tömeges feldolgozásával foglalkozó vállalatoknak emellett létre kell hozniuk és be kell tölteniük az adatvédelmi vezető (data protection officer, DPO) szerepkörét is.
Technológiai környezetükben a szervezeteknek olyan képességeket kell kialakítaniuk a GDPR-megfeleléshez, mint például az adatok távoli, biztonságos elérése, valamint a hálózaton áramló és a szervezet tárolóin nyugvó adatok védelme. Akár házon belül, akár egymás között osztják meg a személyes adatokat a szervezetek, azokat titkosítaniuk kell a biztonság érdekében. A több tárolórendszert használó szervezeteknek, működjenek tárolóik helyben vagy a nyilvános felhőben, hasonló módon gondoskodniuk kell az érzékeny adatok védelméről. A GDPR előírásainak betartásához a vállalatoknak emellett átfogó irányítást (governance) kell bevezetniük, hogy minimalizálhassák az adatszivárgás kockázatát, fenntarthassák a személyes adatok védelmét, és tanúsíthassák a törvényi megfelelést mind szervezeti, mind technológiai oldalon.
A felmérésben részt vevő Egyesült Királyság információvédelmi biztosának hivatala (Information Commissioner's Office, ICO) azt tanácsolja a szervezeteknek, hogy a GDPR-megfelelés érdekében a személyes adatok védelmét már a projektek korai szakaszában is kulcsfontosságú követelményként kezeljék, és ez maradjon így a projekt teljes életciklusán át. Példaként a hivatal olyan projekteket említ, mint az új tárolórendszerek bevezetése, az adatok védelmét érintő stratégia vagy házirend kidolgozása, az adatok megosztására irányuló kezdeményezések vagy az adatok valamilyen új célból történő felhasználása.
Követve ezeket az elveket az ICO a beépített adatvédelemként jellemezhető megközelítést javasolja a szervezeteknek, amely már a kezdetektől a személyes adatok és a magánélethez való jog védelmét helyezi előtérbe, így minimalizálja a biztonsági kockázatokat és erősíti a bizalmat. A Citrix szerint ehhez kevés, ha a vállalatok beágyazott biztonságot nélkülöző meglévő rendszereiket toldozzák-foldozzák hozzáadott technológiákkal. Ha olyan IT-megoldásokat választanak, amelyek architektúrájuknál fogva magukban hordozzák az adatok védelmét, akkor proaktív módon érvényre juttathatják az alapértelmezett, végponttól végpontig terjedő adatbiztonságot, így könnyebben elérhetik és tanúsíthatják törvényi megfelelésüket is.