Híreink

Híreink

DPO: az adatbiztonság őrzője

A GDPR bizonyos tevékenységek esetén kötelezővé teszi a szervezetek számára, más esetekben pedig csak javasolja, hogy DPO-t, azaz Data Protection Officer-t, azaz adatvédelmi tisztviselőt foglalkoztassanak. Horváth Dórával (CyberTeam Kft.), a 4iG cégcsoport DPO-jával beszélgettünk.

N4U: Nemrég rendezte meg az ITOSZ a GDPR Ready 2018 Konferenciát, ahol te is előadást tartottál. Mi volt a benyomásod a rendezvényről, milyen tapasztalatokat szereztél?

Horváth Dóra: Az ITOSZ (Intelligens Társadalomért Országos Szövetség) tagjaként már a konferencia előkészítésben is részt vettem, többek közt az előadók kiválasztásában is. Várakozáson felüli volt az érdeklődés, 24 hasznos előadással. A tavalyi 2017-es Konferencián a GDPR-ra való felkészülés volt a téma, idén pedig már a tettek ideje jött el, a cégeknek hogyan sikerült felkészülni, ezekről akartak hallani a résztvevők. Az ITOSZ további célkitűzése Dr. Urbán Viktor elnök elmondása szerint, hogy a GDPR-nak való megfelelésre versenyelőnyként tekintsünk. Ennek egyik lehetséges eszköze, hogy azon KKV-k kaphassanak például EU-s támogatást, akik megfelelnek a rendeletnek. Továbbá Egyed Zalán ITOSZ elnökségi tag arról beszélt, hogy a GDPR egy lehetőség, hogy a KKV-k megismerjék saját belső folyamataikat, üzletmeneteiket. Az előadók és tanácsadók egyetértettek abban, hogy a folyamatalapú megközelítés az, ami a vállalatok növekedését is meg tudja alapozni.

Az előadások közül a RowanHill Global előadóját – dr. Szöllősi Tamarát – emelném ki: az ő témája áll az én érdeklődésem fókuszában is (GDPR módszertan, esettanulmányok), de a NAIH elnöke, dr. Péterfalvi Attila is hozott új információkat – őt sem nélkülözhette volna egy ilyen rendezvény. A Humansoft szakemberei, Klincsok János, Marosfai Csaba és Regyep György is kiváló előadásokat tartottak. Az információbiztonsági eseményekről és adatvédelmi incidensekről kollégám, Jerabek György előadása szintén megtöltötte a kistermet: ő gyakorló IBF-ként inkább technikai beállítottságú – nem is titkolta, hogy ilyen szemlélettel tekint a GDPR-ra.

N4U: Hogyan készültél fel az előadásodra, mennyire jelentett kihívást, hogy a 4iG-t kell képviselned egy rendezvényen?

HD: Első alkalommal álltam a 4iG-t képviselve „színpadra”: bevallom még az utolsó éjszaka is csiszoltam a diáimon. Végül úgy döntöttem, hogy nem próbálom a teljes anyagot beleszorítani az időkeretembe: hagytam időt a kérdésekre. A felkészülés nem volt nehéz: a 4iG-nél nagyon jó, szakképzett csapattal dolgozhatunk együtt – mind a jogi, mind az IT és IT biztonsági terület messze a hasonló szervezeteknél tapasztalt szint felett teljesít! De ez nemcsak a projekt team tagjaira igaz. A munkavállalóknak tartott workshopokon azt tapasztaltuk, hogy a 4iG-s kollégák érdeklődőek és támogatóak – nem volt nyoma a sok helyen tapasztalható fásultságnak és ellenállásnak. Jó ilyen környezetben dolgozni!

N4U: Hogy lettél DPO?

HD: Június vége óta töltöm be a DPO szerepét a 4iG cégcsoporton belül külsős munkatársként, a CyberTeam Business Consulting Kft. képviseletében, ahol információbiztonsággal, adatvédelemmel foglalkozom. Érdekes, hogy a GDPR nem fogalmaz meg külön végzettségi kritériumot a DPO-k esetében, hanem a rátermettséget emeli ki.

A jogi háttér, a konkrét jogszabályok alapos ismerete viszont elengedhetetlen, ahogy az is, hogy az adott ágazaton belül megfelelő tudással bírjon a tisztségviselő. A mi szakterületünk az informatikai szolgáltatásokhoz tartozó adatkezelés. Mivel nem merült fel olyan speciális szakterület a 4iG cégcsoport egyik tagjánál sem, amelyre ne lettünk volna felkészülve, így a vezetőség úgy döntött, a cégcsoport tagjai számára egy közös DPO-t nevezi ki.

N4U: Mik a DPO feladatai?

HD: Ezt a munkakört maga a GDPR rendelet hozta létre. A DPO mind az adatkezelő, mind az adatfeldolgozó oldalán lát el feladatokat.

Korábban az Infotörvény már előírta adatvédelmi felelősök alkalmazását olyan szervezetek esetében, amelyek nem önkéntes hozzájárulás alapján kezelnek személyes adatokat – ilyen lehet például egy önkormányzat. Ezt a tisztséget többnyire jogtanácsosok látták el, akinek ez a feladat púp volt a hátukon. A GDPR rendelet – amely sok esetben könnyítés az Infotörvényhez képest – most konkrétan körülhatárolja ezt a pozíciót, ő az adott szervezeten belül a hatóság képviselője, amely az ügyfelek adatainak védelmét hivatott ellátni. A DPO ennek megfelelően a bizalmat erősíti az adott szervezet iránt, hiszen van valaki, aki ellátja az ügyfelek adatvédelmi érdekképviseletét, lehet hozzá fordulni kérdéses ügyekben. A partnerek sokkal szívesebben választják annak a vállalatnak a termékeit vagy szolgáltatásait, amelynek a honlapján ott van névvel, arccal, elérhetőséggel az adatvédelmi tisztviselő - ez nagyban erősíti a bizalmat. Ma már világszerte gondolkodnak azon, hogy hasonló típusú adatvédelmi rendeleteket hoznak létre, mint Európában a GDPR.

HD: Az adatvédelmi tisztviselő lehet belsős vagy külsős is. Célszerű kinevezni szervezeten belül egy belsős adatvédelmi felelőst, aki együttműködik a külsős tisztviselővel. Így jobban biztosítható a DPO függetlensége, ha adatvédelmi incidenst tapasztal. De fontos kiemelni, hogy a DPO a mi felfogásunkban nem a társaság ellen, hanem annak érdekében, annak törvényes működéséért dolgozik és ez inkább versenyelőny, mint kockázat. Csapatban dolgozunk, én fogom össze a cégcsoport egyes osztályairól – például a jogi osztályról, az IT és az IT security részlegről, HR-ről, üzemeltetésről – a kijelölt kollégákat. Azért is volt egyszerű dolgunk a folyamat kialakítása során, mert a vállalatnál már eleve volt egy nagyfokú információbiztonsági tudatosság, amit a meglévő ISO 27001 minősítés is jelez. Az elkötelezettség a vezetőség részéről már korábban is adott volt.

N4U: Mi a tapasztalatotok, hogy állnak a hazai vállalatok a GDPR betartásával most, fél évvel annak hatályba lépése után?

HD: A GDPR hatályban van már két éve: a türelmi idő járt le 2018. május 25 -én – innentől kötelezően alkalmazandó. Nemrégiben a Hétpecsét Egyesület szerkesztőségi ülésén néztük át, hogy míg májusban milyen előkelő helyen szerepelt az egyik vezető keresőalkalmazás listáján a GDPR, mint keresőkifejezés, addig ma már nincs a top 50-ben. Egy-egy adatvédelmi incidens után, ami nagy sajtót kap, érezhető némi emelkedés, de azt feltételezem, hogy a valódi „új hullám” akkor lesz érezhető, amikor a NAIH első büntetéseit közzéteszi majd. Vannak, akik komolyan felkészültek – őket nem kell félteni – de vannak, akik még nem mérték fel, hogy a vállalkozásuk léte lehet a tétje a hanyagságuknak. Számukra lehet segítség a 4iG kiszervezett GDPR szolgáltatása, amelynek keretében teljes kockázatelemzést, adatvagyon felmérést és DPO-t is biztosítani tudunk. Ráadásul nincs olyan, hogy egy vállalat „kész van” a GDPR jelentette kötelezettségekkel. Ahogy a prezentációmban is kiemeltem, a megfelelés fenntartása egy „never ending story”: a vállalatok folyamatosan fejlődnek, új tevékenységekbe fognak, így azon új elemeket szintén vizsgálni kell, be kell illeszteni a kialakított rendszerünkbe!

Kiemelkedő díjat kapott a 4iG HR-vezetője

Kiemelkedő díjat kapott a 4iG HR-vezetője

A Behaviour HR magazin díjátadóján Gothárdi Ibolya, a 4iG HR igazgatója középvállalati kategóriában elnyerte ”Az év HR vezetője 2020” díjat…

Lezárult az INNOBYTE felvásárlása

Lezárult az INNOBYTE felvásárlása

Végleges részvény adásvételi szerződést kötött 4iG Nyrt. az INNObyte Zrt. többségi részesedésének megszerzésére – tette közzé az informatikai nagyvállalat a Budapesti Értéktőzsdén (BÉT)…

ÚJABB SIKERES VÁLLALATFELVÁSÁRLÁS ELŐTT A 4iG

Újabb sikeres vállalatfelvásárlás előtt a 4iG

Informatikai és adatközpont üzemeltető céggel bővülhet a cégcsoport…