Híreink

Híreink

DPO: az adatbiztonság őrzője

A GDPR bizonyos tevékenységek esetén kötelezővé teszi a szervezetek számára, más esetekben pedig csak javasolja, hogy DPO-t, azaz Data Protection Officer-t, azaz adatvédelmi tisztviselőt foglalkoztassanak. Horváth Dórával (CyberTeam Kft.), a 4iG cégcsoport DPO-jával beszélgettünk.

N4U: Nemrég rendezte meg az ITOSZ a GDPR Ready 2018 Konferenciát, ahol te is előadást tartottál. Mi volt a benyomásod a rendezvényről, milyen tapasztalatokat szereztél?

Horváth Dóra: Az ITOSZ (Intelligens Társadalomért Országos Szövetség) tagjaként már a konferencia előkészítésben is részt vettem, többek közt az előadók kiválasztásában is. Várakozáson felüli volt az érdeklődés, 24 hasznos előadással. A tavalyi 2017-es Konferencián a GDPR-ra való felkészülés volt a téma, idén pedig már a tettek ideje jött el, a cégeknek hogyan sikerült felkészülni, ezekről akartak hallani a résztvevők. Az ITOSZ további célkitűzése Dr. Urbán Viktor elnök elmondása szerint, hogy a GDPR-nak való megfelelésre versenyelőnyként tekintsünk. Ennek egyik lehetséges eszköze, hogy azon KKV-k kaphassanak például EU-s támogatást, akik megfelelnek a rendeletnek. Továbbá Egyed Zalán ITOSZ elnökségi tag arról beszélt, hogy a GDPR egy lehetőség, hogy a KKV-k megismerjék saját belső folyamataikat, üzletmeneteiket. Az előadók és tanácsadók egyetértettek abban, hogy a folyamatalapú megközelítés az, ami a vállalatok növekedését is meg tudja alapozni.

Az előadások közül a RowanHill Global előadóját – dr. Szöllősi Tamarát – emelném ki: az ő témája áll az én érdeklődésem fókuszában is (GDPR módszertan, esettanulmányok), de a NAIH elnöke, dr. Péterfalvi Attila is hozott új információkat – őt sem nélkülözhette volna egy ilyen rendezvény. A Humansoft szakemberei, Klincsok János, Marosfai Csaba és Regyep György is kiváló előadásokat tartottak. Az információbiztonsági eseményekről és adatvédelmi incidensekről kollégám, Jerabek György előadása szintén megtöltötte a kistermet: ő gyakorló IBF-ként inkább technikai beállítottságú – nem is titkolta, hogy ilyen szemlélettel tekint a GDPR-ra.

N4U: Hogyan készültél fel az előadásodra, mennyire jelentett kihívást, hogy a 4iG-t kell képviselned egy rendezvényen?

HD: Első alkalommal álltam a 4iG-t képviselve „színpadra”: bevallom még az utolsó éjszaka is csiszoltam a diáimon. Végül úgy döntöttem, hogy nem próbálom a teljes anyagot beleszorítani az időkeretembe: hagytam időt a kérdésekre. A felkészülés nem volt nehéz: a 4iG-nél nagyon jó, szakképzett csapattal dolgozhatunk együtt – mind a jogi, mind az IT és IT biztonsági terület messze a hasonló szervezeteknél tapasztalt szint felett teljesít! De ez nemcsak a projekt team tagjaira igaz. A munkavállalóknak tartott workshopokon azt tapasztaltuk, hogy a 4iG-s kollégák érdeklődőek és támogatóak – nem volt nyoma a sok helyen tapasztalható fásultságnak és ellenállásnak. Jó ilyen környezetben dolgozni!

N4U: Hogy lettél DPO?

HD: Június vége óta töltöm be a DPO szerepét a 4iG cégcsoporton belül külsős munkatársként, a CyberTeam Business Consulting Kft. képviseletében, ahol információbiztonsággal, adatvédelemmel foglalkozom. Érdekes, hogy a GDPR nem fogalmaz meg külön végzettségi kritériumot a DPO-k esetében, hanem a rátermettséget emeli ki.

A jogi háttér, a konkrét jogszabályok alapos ismerete viszont elengedhetetlen, ahogy az is, hogy az adott ágazaton belül megfelelő tudással bírjon a tisztségviselő. A mi szakterületünk az informatikai szolgáltatásokhoz tartozó adatkezelés. Mivel nem merült fel olyan speciális szakterület a 4iG cégcsoport egyik tagjánál sem, amelyre ne lettünk volna felkészülve, így a vezetőség úgy döntött, a cégcsoport tagjai számára egy közös DPO-t nevezi ki.

N4U: Mik a DPO feladatai?

HD: Ezt a munkakört maga a GDPR rendelet hozta létre. A DPO mind az adatkezelő, mind az adatfeldolgozó oldalán lát el feladatokat.

Korábban az Infotörvény már előírta adatvédelmi felelősök alkalmazását olyan szervezetek esetében, amelyek nem önkéntes hozzájárulás alapján kezelnek személyes adatokat – ilyen lehet például egy önkormányzat. Ezt a tisztséget többnyire jogtanácsosok látták el, akinek ez a feladat púp volt a hátukon. A GDPR rendelet – amely sok esetben könnyítés az Infotörvényhez képest – most konkrétan körülhatárolja ezt a pozíciót, ő az adott szervezeten belül a hatóság képviselője, amely az ügyfelek adatainak védelmét hivatott ellátni. A DPO ennek megfelelően a bizalmat erősíti az adott szervezet iránt, hiszen van valaki, aki ellátja az ügyfelek adatvédelmi érdekképviseletét, lehet hozzá fordulni kérdéses ügyekben. A partnerek sokkal szívesebben választják annak a vállalatnak a termékeit vagy szolgáltatásait, amelynek a honlapján ott van névvel, arccal, elérhetőséggel az adatvédelmi tisztviselő - ez nagyban erősíti a bizalmat. Ma már világszerte gondolkodnak azon, hogy hasonló típusú adatvédelmi rendeleteket hoznak létre, mint Európában a GDPR.

HD: Az adatvédelmi tisztviselő lehet belsős vagy külsős is. Célszerű kinevezni szervezeten belül egy belsős adatvédelmi felelőst, aki együttműködik a külsős tisztviselővel. Így jobban biztosítható a DPO függetlensége, ha adatvédelmi incidenst tapasztal. De fontos kiemelni, hogy a DPO a mi felfogásunkban nem a társaság ellen, hanem annak érdekében, annak törvényes működéséért dolgozik és ez inkább versenyelőny, mint kockázat. Csapatban dolgozunk, én fogom össze a cégcsoport egyes osztályairól – például a jogi osztályról, az IT és az IT security részlegről, HR-ről, üzemeltetésről – a kijelölt kollégákat. Azért is volt egyszerű dolgunk a folyamat kialakítása során, mert a vállalatnál már eleve volt egy nagyfokú információbiztonsági tudatosság, amit a meglévő ISO 27001 minősítés is jelez. Az elkötelezettség a vezetőség részéről már korábban is adott volt.

N4U: Mi a tapasztalatotok, hogy állnak a hazai vállalatok a GDPR betartásával most, fél évvel annak hatályba lépése után?

HD: A GDPR hatályban van már két éve: a türelmi idő járt le 2018. május 25 -én – innentől kötelezően alkalmazandó. Nemrégiben a Hétpecsét Egyesület szerkesztőségi ülésén néztük át, hogy míg májusban milyen előkelő helyen szerepelt az egyik vezető keresőalkalmazás listáján a GDPR, mint keresőkifejezés, addig ma már nincs a top 50-ben. Egy-egy adatvédelmi incidens után, ami nagy sajtót kap, érezhető némi emelkedés, de azt feltételezem, hogy a valódi „új hullám” akkor lesz érezhető, amikor a NAIH első büntetéseit közzéteszi majd. Vannak, akik komolyan felkészültek – őket nem kell félteni – de vannak, akik még nem mérték fel, hogy a vállalkozásuk léte lehet a tétje a hanyagságuknak. Számukra lehet segítség a 4iG kiszervezett GDPR szolgáltatása, amelynek keretében teljes kockázatelemzést, adatvagyon felmérést és DPO-t is biztosítani tudunk. Ráadásul nincs olyan, hogy egy vállalat „kész van” a GDPR jelentette kötelezettségekkel. Ahogy a prezentációmban is kiemeltem, a megfelelés fenntartása egy „never ending story”: a vállalatok folyamatosan fejlődnek, új tevékenységekbe fognak, így azon új elemeket szintén vizsgálni kell, be kell illeszteni a kialakított rendszerünkbe!

Szeretnék GDPR tanácsadást kérni

Northern Business Expo

Northern Business Expo

A 4iG Nyrt. outsourcing szolgáltatásaival valamint iparági megoldásaival mutatkozik be a Northern Business Expon…

Hova tart a Zabbix

Hova tart a Zabbix?

„Hobbi” nyílt forráskódból nagyvállalati monitoringgá cseperedett a 4iG stratégiai partnere…

DPO - az adatbiztonság őrzője

DPO: az adatbiztonság őrzője

A GDPR bizonyos tevékenységek esetén kötelezővé teszi a szervezetek számára, más esetekben pedig csak javasolja, hogy DPO-t, azaz Data Protection Officer-t…