GDPR felkészítés, tanácsadás

Ügyfeleink számára is fontos kérdés a 2018. május 25-től életbe lépő Európai Unió általános adatvédelmi rendelete, a General Data Protection Regulation (röviden GDPR), amely egységes európai szintű adatkezelési gyakorlatokat tesz kötelezővé minden vállalkozás számára, mérettől függetlenül.

Minden szervezet, amely akár alkalmazottakat foglalkoztat, ügyfeleknek számláz, hírlevelet küld, adatbázisban gyűjti adatait a könyvelésről, tehát személyes adatokat kezel, a rendelet hatálya alá esik, így fel kell készülnie a megfelelésre is. A büntetési tételek magasak, és a NAIH előzetes tájékoztatása alapján bármely Magyarországon működő vállalkozás számíthat ellenőrzésre.

De megfelelő felkészüléssel elkerülhető a büntetés, és ha a vállalat megteszi a legfontosabb felkészülési lépéseket, egy esetleges ellenőrzés során nem érheti kellemetlen meglepetés.

Az Ecobit Consulting számos cég felkészülését segíti és segítette a május 25-i határidő előtt és az után is, és az Ön vállalkozásának is segítséget tudunk nyújtani a következő területeken:

  • Konzultáció a legfontosabb teendőkről, felmérés a rendelet hatálya alá eső vállalati területekről, érintettek azonosítása, jogalapok megállapítása, az informatikai rendszerekben tárolt személyes adatok meghatározása, intézkedések kidolgozása papíralapú adatok kezelésével kapcsolatban (mit, és hogyan szükséges védeni, kezelni)
  • A GDPR-nak megfelelő Informatikai rendszerek (fájltárolás, levelezés) bevezetése, például a Microsoft Office 365 által nyújtott szolgáltatások konfigurálása (SharePoint alapú fájlmegosztás, Exchange alapú levelezés)
  • Hordozható eszközök védelmének megvalósítása (laptopok titkosítása, távoli eszközkezelés, például céges adatok távoli törlése), Microsoft 365 bevezetése (amely az Office 365 mellett tartalmaz számos adatvédelmi eszközt, például a korábbi nevén Intune megoldást)
  • Segítségnyújtás az adatok nyilvántartásának, leltárának elkészítésében
  • Felkészülés az adatvédelmi incidensek kezelésére
  • Beszállítói, alvállalkozói szerződések megfelelőségére való felkészülés támogatása (ad-e át a vállalkozás személyes adatokat más vállalkozásoknak, például bérszámfejtésre, vagy elemzésre, akár adatmentés céljából)
Gyakori kérdések:

Milyen vállalati dokumentumokat szükséges kulccsal zárható szekrényben tárolni?

  • Minden olyan személyes adatot tartalmazó dokumentumot, ami a munkáltatók munkaviszonyával vagy a munkájával kapcsolatos, például jelenléti íveket, fuvarleveleket vagy szerződéseket is. Emellett az ügyfelekkel és beszállítókkal kötött szerződéseket is, amennyiben azokon személyiségi adatok (például ügyintéző neve, aláírása) található. Amennyiben eltérő személyek férnek hozzá ezekhez az adatokhoz, érdemes ezeket fizikailag is elkülöníteni, más szekrényben tárolni.

Használhatunk-e ingyenes email szolgáltatást vállalati célra? (például Gmail)

Nem szabálytalan, amennyiben az email cím a vállalat tulajdonában van, de ha egy partner kéri a személyes adatainak törlését, egy ingyenes szolgáltatás sokkal kevesebb lehetőséget biztosít, mint például a Microsoft Exchange Online levelezőrendszer, amelyben felcímkézhetőek azon emailek, amelyek személyes adatot tartalmaznak, és adott idő elteltével az összes felhasználó fiókjából törölhetőek automatikusan, vagy egy felületre gyűjthetőek. A közös postafiókok kezelése is egyszerűbb és biztonságosabb Exchange alapon, nem csak helyi példányok léteznek a levelekből, mint sok ingyenes levelezőrendszernél, hanem központilag, a kiszolgálón érhető el a teljes levelezés, és a szervezet teljeskörűen irányíthatja, mely emailek hogyan kerüljenek kezelésre.

Mi a teendő akkor, ha egy korábbi alkalmazott kéri az összes személyes adatának törlését a vállalattól?

Az alkalmazott kérhet tájékoztatást a róla tárolt személyes adatokról, amit a nyilvántartásunk alapján rövid határidőn belül biztosítania kell a vállalkozásnak számára, de azon adatokat, amiket törvényi kötelezettség miatt tárol róla a vállalat, nem töröltetheti, például a számlák vagy a társadalombiztosítási adatok esetében.

Kötelező-e a jelszó a laptopokon, jelkód a telefonokon?

Igen, sőt, a hardveres titkosítás is ajánlott a jogszabályoknak való megfeleléshez, ugyanis hiába védett jelszóval a számítógép, elvesztése esetén a merevlemez kiszerelés esetén titkosítás hiányában minden adat leolvasható róla, ami viszont adatvédelmi incidensnek számít, és könnyen büntetést vonhat maga után. Erre egy jó lehetőség például a Windows 10 Pro-ban megtalálható Bitlocker, vagy bizonyos laptopok által biztosított hardveres, beépített titkosítások.

Elegendő, ha a megfelelő mappákat a számítógépeken/ szerveren jelszóval védjük le?

Ha a titkosítás megoldott, és a megfelelő jogosultságú személyek férnek csak hozzá, elegendő lehet, (például a jelszóval védett új formátumú Excel fájlok biztonságosnak számító AES-256 titkosítást használnak) de a munkafolyamatot jobban tudja támogatni egy olyan felhő alapú fájlkezelő megoldás bevezetése:

  • amely minden tekintetben megfelel a GDPR előírásainak technológiai szempontból,
  • ahová a munkatársak a saját céges emailcímükkel tudnak bejelentkezni,
  • a jogosultságaiknak megfelelő könyvtárakhoz férnek hozzá,
  • a fájlok verzióinak kezelése megoldott, nem jelent kockázatot a szándékos törlés
  • adatvesztést megelőző szabályok vehetőek fel (például bizalmas címkéjű dokumentumok nem küldhetők el emailben a szervezeten kívülre ilyen jogosultsággal nem rendelkező felhasználók által)
  • minden fájlról automatikus biztonsági mentés készül, így nem merülhet fel adatvesztés
  • külső szereplőkkel (hatóságok, könyvvizsgálók) zökkenőmentesen és szabályoknak megfelelően oszthatók meg a megfelelő információk

A Microsoft Office 365 által kínált szolgáltatásokkal megvalósítható egy ilyen rendszer, de a Google G-Suite alkalmazáscsomagjával is szinte mindegyik feltételnek megfelelhet a vállalkozása.