Az e-aláírásokkal és digitális adatbiztonsággal foglalkozó NETLOCK szakemberei úgy látják, hogy a globális adatvédelmi incidens rávilágít néhány olyan problémára, amelyek nem csupán a közösségimédia-óriás vagy a nagypolitika, de akár egy hazai vállalkozás szintjén is tanulságokkal szolgálhatnak.
„Bár még nem látjuk, hogy az adatkezelési incidens után indult #DeleteFacebook mozgalomhoz hányan csatlakoznak, de az biztosnak tűnik, hogy az ügy hatására tömegek ismerik fel, hogy személyes adataikra érdemes jobban ügyelni. Azzal, hogy a GDPR a közbeszéd témájává vált, várhatóan azt is egyre többen értik meg, hogy az új törvény az eddiginél komolyabb jogokat és lehetőségeket ad kezükbe, ha rendelkezni szeretnének személyes adataikról. A kéretlen reklámlevelektől kezdve a telefonszámunk kiadásán át, nagyon sok olyan hétköznapi eset fordulhat elő, ahol egy átlag fogyasztó keményebben kérheti számon, hogy ki, hogyan, miért és mire használja adatait. Mi úgy látjuk, hogy egyre több lesz a tudatos, jogtudatos felhasználó, aki panasszal él, ha vélt vagy valós visszaélés történik adataival. Ezért minden vállalatnak érdemes végiggondolnia a jelenlegi adatkezelési gyakorlatát és azt is, hol kell változtatnia, hogy elkerülje a jogsértést és az azért járó esetleges büntetést” – mondta el Varga Viktor, a NETLOCK adatbiztonsággal foglalkozó felelőse.
A szakember szerint a biztonságos és szabályszerű adatkezeléshez vezető út egyik fontos mérföldköve egyértelműen a papíron kezelt dokumentumok, adatok digitalizálása, ún. e-konverziója. „A GDPR követelményeinek betartását technikai szempontból leginkább a vállalati folyamatok digitalizálása biztosíthatja. Érdemes lehet bevezetni az e-archiválást, és a papíron zajló folyamatok minél jelentősebb részét a digitális térbe terelni, ott pedig kontrolláltan, szabályozottan kezelni az adatokat. Várható, hogy a Facebookon felnövő generációk lényegesen nagyobb figyelmet fognak szentelni – ha úgy tetszik, az eddigieknél szigorúbban reagálnak majd – a személyes adataikat nem megfelelően kezelő szervezetek tevékenységére. Ha pedig bizonyíthatóan hibázik az adatkezelő, például egy marketingkampányban, büntetésre is számíthat” – tette hozzá.
- Szabályozva vannak-e a személyes adatokat tartalmazó fájlok, mappák, könyvtárak kapcsán a jogosultságok, azaz valóban csak azok a kollégák férhetnek hozzá az adott információhoz, akik jogosultak rá?
- Rendszeresen frissítik-e az operációs rendszereket, alkalmazásokat és a víruskeresőket, tűzfalakat, amelyek megakadályozhatják – vagy legalábbis megnehezíthetik –, hogy a cégnél tárolt adatokhoz illetéktelenek hozzáférhessenek?
- Frissítik-e rendszeresen a hardver eszközöket és azok kiegészítőinek – például wifik, routerek, nasok – programjait?
- Az érzékeny állományokat tároló adathordozók – asztali gépek, laptopok vagy a szerverek merevlemeze, pendrive-ok, külső merevlemezek – titkosítottak-e?
„Az adatvédelmi törvény szerint az adatfeldolgozás során okozott kárért együtt felel a kezelő és a feldolgozó, ezért még jobban érdemes odafigyelni, hogy az ilyen területen érintett üzleti partnereink adatkezelési gyakorlata is rendben legyen” – teszi hozzá Varga Viktor. A szakember a facebookos adatvédelmi incidens tanulságaiból kiindulva még a következőkre is felhívja a figyelmünket:
- Az adatfeldolgozásban részt vevő partnereinket gondosan válasszuk ki, és ellenőrizzük. A szerződés szigorúan rendezze az adatvédelmi kérdéseket.
- Adatfeldolgozásra külső partner számára csak kizárólag annyi adatot adjunk át, ami az adott projekthez, művelethez feltétlenül szükséges.
- Ha van rá mód, álnevesítve vagy anonimizálva adjuk át az adatokat, amikor az adatok egy része „kódolt” (álnevesítés), vagy hiányzik, vagyis anonimizált.
- Számítsunk rá, hogy az eddig éppen csak jó vagy csak kicsit nem megfelelő adatkezelési szokások problémákat okozhatnak, mert várhatóan egyre többen kérik számon rajtunk, ha nem megfelelően járunk el.
