HÍREK, INFORMÁCIÓK

Adatbiztonság és információbiztonság: Miért fontosak a vállalkozások számára?

A technológia villámgyors fejlődése állandó kihívások elé állítja az adatkezelőket és adatfeldolgozókat. Az érintettek számára jogaik nagyfokú sérelmét, míg az adatkezelőknek akár anyagi vagy szakmai veszteségeket okozhat az adatbiztonság sérelme (pl: személyazonossággal való visszaélés, jó hírnév sérelme, hátrányos megkülönböztetés).

A szabályozás értelmében a személyes adatokat a technológia (éppen aktuális) fejlettségi szintjének megfelelő védelemben kell részesíteni, ez pedig mindenekelőtt az adatkezelő felelőssége, ugyanakkor mindez az adatbázisok, nyilvántartások funkciójának és jellegének is függvénye.

A GDPR alapelvei között szerepel [5. cikk (1) bekezdés f) pont] az „integritás és bizalmas jelleg” elve, amely kimondja, hogy a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az adatok integritása jelenti az adatminőség biztosítását, vagyis az adatok pontos és teljes rendelkezésre bocsátását és megóvásukat a külső, nem kívánt hatásoktól.

Az alapvető különbség az információbiztonság és adatbiztonság között, hogy míg az információbiztonság valamennyi adat védelmét jelenti, addig az adatbiztonság a személyes adatok vonatkozásában jelöli ki az elvárásokat, amelyeket az adatkezelőnek, adatfeldolgozónak kell teljesítenie az adtok megóvása érdekében.

Az elv részletes kifejtését, az adatbiztonság alapvető szabályait a GDPR 32. cikke tartalmazza: Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

Alapvető szabály, hogy a GDPR technológiasemlegesen és rugalmasan határozza meg rendelkezéseit a témában, hiszen a technológia fejlődése, folyamatos változása miatt nem szűkíthető le a szabályozás.

Az adatbiztonság esetében kiemelten technikai/műszaki és szervezési intézkedésekről beszélünk. Ezek milyensége nagyban függ az alkalmazott adatkezelés céljától, jellegétől, a személyes adatok körétől, valamint az ezekből fakadó kockázatoktól. Ezen kockázatokat kell értékelnie az adatkezelőnek, majd pedig a megfelelő intézkedéseket meghoznia.

A technikai, műszaki intézkedések a szervezési intézkedések megvalósítását, érvényre juttatását hivatottak biztosítani. A tudomány aktuális állásának megfelelő olyan intézkedéseket kell megvalósítani, amelyek alkalmasak a kezelt személyes adatok biztonságának megőrzésére. A szabályozás – mivel technológiasemleges – nem állít fel pontosan követendő részleteket, azonban ide tartozónak kell tekinteni többek között:

  • IT infrastruktúra folyamatos frissítését
  • megfelelő álnevesítés vagy anonimizálás alkalmazását
  • végponttól végpontig tartó titkosítást (ebben a körben olyan algoritmus alkalmazása, amely megfelel a kor elvárásainak)
  • incidensek hatékony kezelését (folyamatos monitorozás és incidens esetén jelzés)
  • adattisztítás végzését az adattakarékosság érvényre juttatásáért (csak annyi és olyan személy adat kezelhető, amely feltétlenül szükséges).

Az adatbiztonság megvalósítása nem csupán technikai, műszaki hanem szervezési intézkedésekből is áll. Ez utóbbi mindenekelőtt szabályzatokban, belső szabályozási rendben testesül meg.  Ezekben rendelkezni kell többek között az alábbiakról:

  • adatbiztonsági szabályozások (szabályzatok) és gyakorlatok bevezetése
  • adatbiztonsági szabályok folyamatos monitorozása
  • hozzáférési jogosultságok meghatározása és folyamatos ellenőrzése
  • naplózási szabályok meghatározása
  • dokumentálási szabályok meghatározása
  • felelősségi -és hatáskörök pontos definiálása.

A belső szabályzatoknak kiemelt jelentőségük van a téma szempontjából. Az egyik legfontosabb ezek közül az információbiztonsági szabályzat, amelyben az adatkezelő rendelkezik az aktuális informatikai infrastruktúráról és az ehhez kapcsolódóan elvárt adatbiztonsági szabályokról.