Donald Trump a múlt héten mindenféle különösebb, a tőle megszokott felhajtástól mentes környezetben aláírta azt a jogszabályt, amely lehetővé teszi az Egyesült Államokban működő internetszolgáltatóknak, hogy előfizetőik teljes böngészési előzményét gyűjthessék, tárolhassák, elemezhessék és megfelelő vevő esetén azt eladhassák harmadik félnek, így webáruházaknak, marketing ügynökségeknek vagy akár gyógyszerkereskedelemmel foglalkozó óriásvállalatoknak – emlékeztet friss bejegyzése elején Kiss Dániel a budapesti Mazars iroda Információ és adatbiztonsági szolgáltatásaiért felelős vezetője.

Az Európai Unióban hamarosan bő egy év múlva, 2018. május 25-én életbe lépő, az amerikai szabályozással koncepcionálisan szembehelyezkedő (679/2016-os) adatvédelmi rendelete ezzel szemben új szintre emeli az uniós állampolgárok személyes adatainak védelmét, amely komoly adminisztrációs és anyagi terhet fog róni a személyes adatokat is kezelő közepes és nagyvállalatokra.

A cégek egy részének vélhetően az is kihívást fog okozni, hogy egyáltalán azonosítsák, milyen személyes adatokat kezelnek munkavállalóikról, ügyfeleikről, és partnereikről, még akkor is, ha azt egyébként jogszerűen teszik. A számos, az évtizedek során egymásra épült szigetszerű informatikai rendszerekben már maguknak a személyes adatoknak az azonosítása és lokalizálása is számos munkaórát generál egy ilyen felkészülési projektben érintett munkatárs számára.

Márpedig a személyes adatok azonosítása a rendelet értelmében csak a nulladik szükséges, de távolról sem elégséges feltétele. Számos dologgal kell foglalkozniuk a cégeknek, és itt nem csak a honlapok kötelező adatvédelmi tájékoztatójának frissítését szükséges elvégeznünk, de az abban leírtakat mostantól érdemes komolyan is gondolni. Ennek a védelemnek az ára azonban felülről korlátlan lehet, éppen ezért érdemes jól átgondoltan megközelíteni a rendelet által támasztott kihívásokat, hiszen egy utolsó pillanatban, horribilis áron megvásárolt vírusvédelmi, merevlemez-titkosítási, vagy tűzfal megoldás bizonyos esetekben jól jöhet, átgondolt változtatások nélkül csak ettől nem fogunk megfelelni az új jogszabálynak.

Érdemes tehát a rendeletnek való megfelelés érdekében külön felkészülési projektet alapítani, és a projektbe a lehető legnagyobb számú, és legkülönbözőbb szakértelemmel bíró érintettet bevonni, legyen az jogász, informatikus, vagy adminisztrációs terület munkatársa. Lehet ugyanis, hogy olyan személyes adatokat is kezel a vállalat, melyről a vezetés, vagy a vállalat jogásza mindezidáig nem is tudott, ugyanakkor vállalati hierarchia alsóbb szintjein dolgozó adatfeldolgozó munkatársak számára az teljességgel természetes. Ha az ilyen adatkezeléseket nem azonosítjuk, úgy az Damoklész kardjaként fog lebegni a cégvezetés feje felett, hiszen egy adatvédelmi incidenst követő vizsgálat során kiszabott bírság akár az adatvédelmi projekt költségének többszörösére is rúghat (az 679/2016 rendelet értelmében a Nemzeti Adatvédelmi és Információszabadság Hivatal által kiszabható bírság maximális összege 20 millió Euro, vagy a teljes éves árbevétel 4 százaléka – a kettő közül a magasabb összeg).

Nem kerülhetik el a vállalatok, hogy felmérjék információbiztonsági érettségi szintjüket, számba vegyék a meglévő technikai és szervezeti védelmi megoldásokat, valamint feltegyék maguknak a legalapvetőbb kérdést: „Valóban mindent megtettem, hogy a rám bízott személyes adatokat megvédjem az illetéktelenektől?”

Fontos figyelnünk arra is, hogy milyen felhő alapú informatikai megoldásokban tárolunk személyes adatokat, hiszen az új rendelet a személyes adatok harmadik (EU-n kívüli) országba való továbbításával kapcsolatban rendkívül szigorú követelményeket fogalmaz meg.

Ha eddig nem tettük volna meg, most már szintén nem halaszthatjuk tovább a weboldalunk biztonságosabb, https kapcsolatának kiépítésének alapfeltételéül szolgáló SSL tanúsítvány megvásárlását. Ha weboldalunk személyes adatokat kezel (például jelszavas bejelentkezés szükséges), úgy mindenképpen, de egy átlagos bemutatkozó weboldalnál is komoly létjogosultsága van, hiszen a népszerű keresőoldalak is előbbre sorolják a biztonságos webhelyeket, valamint komolyabb cég képét is kommunikálhatjuk kifelé, elfogadható költségszint mellett.

Éppen ezek, és a feladatok szerteágazó volta miatt fontos, hogy ne halasszuk az utolsó pillanatra a felkészülést, és amennyiben lehetőségünk van rá, ne próbáljuk meg a lehető legkevesebb erőforrásból megúszni azt, hiszen ez által nem csak a bírságokat kerülhetjük el, hanem egy komoly szolgáltató/vállalat képét sugározhatjuk kifelé, aki prioritásként kezeli, és védi ügyfeleinek a kiberbűnözők számára is egyre értékesebbé váló személyes adatait. És ha a fogyasztók, végfelhasználók, vagy egyszerű állampolgárok oldaláról szemléljük a helyzetet, megállapíthatjuk, hogy talán az öreg kontinens indult el a jó irányba, már ami a személyes adatok kezelését és védelmét illeti.