Híreink

Híreink

A felkészületlenség miatt a GDPR továbbra is fontos szolgáltatási terület

Sok cég csak a jogi oldalról közelíti meg a GDPR-t, ez azonban nem válik majd a hasznukra, hiszen a technikai megfelelés épp ilyen, ha nem még fontosabb része egy vállalat felkészültségének. Klincsok János, a Humansoft rendszermérnöke az ITOSZ konferencián tartott előadásában is azt hangsúlyozta, hogy sokkal célszerűbb, ha egy információbiztonsági irányítási rendszerként tekintenek a témára az érintettek.

Bár már hónapok óta büntethetők azok a cégek, amelyek nem felelnek meg a GDPR-nak, a magyar piac mégis ott tart, hogy tudatosítani kell a szereplőkben, hogy nem egy megvehető licenszről van szó, hanem egy komplex, nagyobb lélegzetvételű rendszert kell átültetni a gyakorlatba, és a mindennapok során is annak megfelelően működni.

Egymásnak ellentmondó hírek között nehéz kiigazodni

Az idei májusi határidőre a legtöbb vállalatnak nem sikerült felkészülnie, annak ellenére, hogy elkezdtek érkezni a 20 millió eurós büntetésekről szóló hírek - amelyeket szinte azonnal követtek a megnyugtatóbb információk, melyek szerint a KKV-knak egyelőre nincs mitől tartaniuk, így hamar lecsengett a riadtság fázisa, és sokan kényelmesen hátradőltek.

“Néhányan eljutottak odáig, hogy elkészítettek egy adatkezelési szabályzatot, és a hozzá kapcsolódó tájékoztatókat, ennél egy fokkal jobban teljesítenek azok, akik megcsinálták az adatvagyon leltárat a személyes adatokra vonatkozóan, valamint a folyamatok leltárát, de mindez szinte semmit sem ér, ha informatikai oldalról nem követi egy informatikai biztonsági szabályzat létrehozása, és annak technikai megvalósítása” - sorolta a problémákat Klincsok.

A Humansoft teljeskörű megoldást tud adni

Természetesen a Humansoft nem csak a nehézségekkel van tisztában, hanem azzal is, hogy milyen megoldásokkal lehet előrelépni. “Mivel az információbiztonság nagyon szerteágazó terület, mi minden részére alaposan felkészültünk. Az igények szerint felmérést, kockázatelemzést végzünk, meg tudjuk vizsgálni a technikai oldal sérülékenységét, de a megfelelő szabályozások megalkotásában is tudunk segíteni, végül pedig különböző technikai megoldásaink is vannak az információ védelmére. Lényegében a cégcsoport teljes termékpalettáját be tudjuk vetni, hogy az ügyfelek kellő védelemmel láthassák el a náluk lévő személyes adatokat” - foglalta össze a lehetőségeket a szakember.

Az érintettek köre a KKV-któl kezdve az egészen nagy vállalatokig terjed, azonban a munkafolyamat, amellyel feltárják és orvosolják a problémákat, már kialakult a cégcsoportban, így ha a megoldások nem is konzervszerűek, de a módszertan mindenhol azonos. A végeredmény persze nagyon eltérő lehet, hiszen attól is függ, hogy milyen változások, megoldások kellenek, hogy állami-, vagy magánfenntartású intézményről van szó, hiszen ezekre más jogszabályok vonatkozhatnak, de abban is lehet eltérés, hogy hova továbbít adatokat egy-egy intézmény.

“A módszertan tehát megvan, de mindent egyesével kell átnézni: milyen adatkezelések vannak, milyen jogalapokkal, van-e weboldal, van-e kamera, akarnak-e csinálni céges rendezvényeket… A legtöbb esetben személyes interjúk alapján derülnek ki ezek a dolgok, hiszen sok esetben az ügyfél sincs tisztában azzal, hogy egy-egy tevékenysége egyáltalán kapcsolatban van-e a GDPR-al. Ha hozzánk eljut valaki, az már egy fontos lépés a megfelelő irányba” - mondta el Klincsok.

Korábban sem volt szabályozatlan a terep

Bár a GDPR új tényező, a szabályozott terület nem újdonság, hiszen korábban is voltak olyan ágazati törvények – személy és vagyonvédelmi törvény, Infotörvény vagy épp az elektronikus reklámtevékenységet szabályozó törvények - amelyek különböző adatkezeléseket szabályoztak. Ráadásul nem nagy az eltérés, az igazi probléma az, hogy a korábbi törvényeket is kevesen vették igazán komolyan.

Emellett sokan azt gondolják, hogy a kisebb cégek nem kerülnek a hatóságok látóterébe, ez azonban Klincsok szerint tévedés: “Nem mérettől függ , hogy kit büntetnek meg.Elég akár egyetlen rosszakaró.Ugyanis, ha valaki bejelentést tesz a NAIH-nál, akkor azt nekik hivatalból ki kell vizsgálni. Így pedig elég egy apró hiba, vagy egy olyan dolog, például a tagok névjegyzékének jogalap nélküli közzététele valamely szervezet honlapján, amely komoly büntetéseket eredményezhet.”

A cégek számára teher, a magánemberek számára azonban hasznos

A Humansoft szakértője olyan példákat is említett, amikor a munkáltató túlkapásaival szemben adhat védelmet a GDPR, de személyesen is átélt olyan helyzetet, amikor jól jött, hogy alaposan ismeri a témát. Itt említette azt, hogy a munkavállalók megfigyelése lehet indokolt, de ezt nem szabad rögtön olyan módon kezdeni, hogy a munkáltató bekamerázza a munkaterületet, még akkor sem, ha erről tájékoztatja a dolgozóit.

Ezeknél a munkahelyi megfigyeléseknél szem előtt kell tartani a szükséges és elégséges elvet valamint a fokozatosságot. Például a munkaidő betartásának ellenőrzése több módszerrel is lehetséges, például a jelenléti ívvel, belépőkártya adatainak ellenőrzésével, képernyőképek készítésével, azonban ezeknek a hatását az adatalanyra vonatkozóan mérlegelni kell. Hasonló eset a munkahelyi levelezés megfigyelése. Ez utóbbinál például jó gyakorlat lehet, ha először csak a fejlécet nézheti meg a munkáltató, és csak akkor nézheti meg magát a levelet, ha a tárgy alapján nem tűnik magánjellegűnek a levél. Emellett azt is érdemes biztosítani, hogy az érintett kolléga is jelen lehessen a kivizsgálásoknál.

“Összességében a GDPR túlzónak tűnhet, és vannak olyan élethelyzetek, amikor nehéz alkalmazni, vagy épp nagyon egyedi elbírálás szükséges. Vannak esetek amelyekre még egyszerűen nem alakult ki a megfelelő állásfoglalás vagy gyakorlat. Ha például egy kutyán van nyomkövető, akkor az ő mozgásából következtetni lehet a gazda pozíciójára is - jó kérdés, hogy ez személyes adat-e vagy sem.

A GDPR tehát továbbra is aktuális téma a magyar vállalkozások számára, hiszen túl sokan vannak, akik nem, vagy nem megfelelően készültek fel, és így komoly problémákkal is szembesülhetnek, ha nem lépnek időben - ami már most is késő, de egy jól felkészült csapattal talán elébe mehetnek a bírságoknak.

Megújult a Zabbix, a 4iG IT Távfelügyelet szolgáltatási platformja

Megújult a Zabbix, a 4iG IT Távfelügyelet szolgáltatási platformja

Megjelent a Zabbix nyílt forráskódú monitoring rendszerének 4.2-es verziója, amely több hibajavítást illetve új funkciókat tartoga…

Az év felfedezett partnere

Az év felfedezett partnere

Az Oracle fejezte ki elismerését felénk HOUG 2019 Innovation & Inspiration elnevezésű rendezvényén.

IT Biztonsági hírek – átverések, sérülékenységek, ransomware támadások

IT Biztonsági hírek – átverések, sérülékenységek, ransomware támadások

Aktuális válogatásunkból tájékozódhat, mennyire sokrétű fenyegetéseknek van kitéve minden vállalati hálózat és adatvagyon…