Mit tanuljunk m√°sok hib√°ib√≥l ‚Äď avagy a GDPR b√ľntet√©s tanuls√°gai

A NAIH határozatából sok mindent tanulhatunk. A legfontosabb, hogy ha az AdatkezelŇĎ nem jelenti be 72 órán belül az észlelt incidenst a hatóságnak az egyértelmŇĪen büntetést von maga után. Ha kiemelt adatokat, azaz például egészségügyi adatot kezel valaki és Adatvédelmi TisztviselŇĎ kinevezésére kötelezett akkor, mint magasabb kockázat a határozatból tanulva még incidenskezelési szabályzatot is elvár a Hatóság.

A GDPR rendelet nem írja elŇĎ explicit, hogy milyen szabályzatokkal kell egy szervezetnek rendelkeznie, azonban a kockázattokkal arányos szabályozást elvárja. Az a szervezet, amely Adatvédelmi TisztviselŇĎ kinevezésére kötelezett a rendelet szándékai szerint valamiért kiemelt AdatkezelŇĎ, így a nagyobb kockázatok komolyabb szervezési, azaz szabályozási kötelezettséget jelentenek.

 

Érdemes megtanulni még az esetbŇĎl, hogy nem csak a digitális adatkezelés hanem a papír alapon kezelt adatok is GDPR alá esnek, ha nyilvántartásba vettük azokat. Az adatokhoz való hozzáférés teljesítése – ami a rendelet 32. cikkében a bizalmasság, sértetlenség és rendelkezésre állás paramétereiben jelenik meg – sokkal nagyobb erŇĎforrást igényel, mint, hogy a szabályzatba beleírja az AdatkezelŇĎ saját maga és alvállalkozói számára, hogy ez elvárás.

 

Az információbiztonsági követelmények lesznek a következŇĎ három év GDPR kockázatai. Erre a területre általában igen kevés erŇĎforrást fordítottak a felkészülés során az AdatkezelŇĎk. – tette hozzá Sándor Zsolt András a Gill & Murry információbiztonsági partnere. Tapasztalataink szerint mind szervezeten belül mind az alvállalkozókkal szemben még csak elvi síkon sincs rögzítve az információbiztonsági elvárás, a jelen határozatból is kiderül, hogy a Hatósági elvárás ezzel szemben az, hogy mŇĪködŇĎ folyamatok és dokumentált szabályozás szükséges ezen a területen is.

 

Javasoljuk a GDPR és a kapcsolódó információbiztonsági szabályozások felülvizsgálatát, valamint az incidenskezelési folyamatának tesztelését egy képzelt incidens kapcsán. Vajon pénteken du. 14h-kor az indexre felkerülŇĎ következŇĎ dokumentum esetében képes lenen az Önök szervezete 72 órán belül a megfelelŇĎ vezetŇĎi döntéseket követŇĎen a NAIH bejelentŇĎt kitöltve a szükséges javító intézkedések tervének kialakítását követŇĎen teljeskörŇĪen teljesíteni a bejelentési kötelezettéget?!

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció