2018 május 25-én, immár 4 éve lépett hatályba a GDPR-rendelet, vagy ahogy magyarosabban nevezhetjük, az Általános Adatvédelmi Rendelet (amikor erre gondolok, azt később egyszerűen csak Rendeletnek fogom nevezni). Az előtte lévő 2 év felkészülési idővel az elvileg 6 év tapasztalatot jelenthetne, de egyes területeken mégis az újdonság erejével hat néhány alapkérdés is az adatkezeléssel és adatvédelemmel kapcsolatban. Pár alapfogalmat tisztába téve esetleg javulhat a helyzet.
Miért fontos, hogy értsük is a Rendelet lényegét és azokat a fogalmakat, amelyeket használ?
Kedves Olvasó, ne ijedj meg, egy rövid idézet jön a Rendeletből, de a fordítás is ott lesz mögötte Rendeletről magyarra.
Szóval a Rendelet adatkezelés biztonságával foglalkozó 32. cikke azt várná el, hogy az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét. Továbbá az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást kell működtetni.
Sétálok az utcán, és egy iroda földszinti portálján betekintve a képen látható látvány tárul elém. Ha nagyon akarnám, elolvashatnám az ablakban lényegében közszemlére tett listát, és megtudhatnék olyanokat a listában szereplő személyekről, amelyeket nem biztos, hogy akarok. Hát ne nézzek be az ablakon, mondhatná bárki. Nos, én valóban csak a cikk illusztrálása céljából tettem ezt, de ami ennél fontosabb: a listán szereplő személyek sem biztos, hogy örülnének annak, hogy én vagy bárki más ilyen könnyen a személyes adatukhoz és az ahhoz kapcsolódó akármilyen információhoz jut.
Mit is mond a Rendelet?
Az adatkezelőnek a tudomány és technológia állása figyelembevételével megfelelő technikai és szervezési intézkedéseket kellene végrehajtania annak érdekében, hogy a megfelelő szintű adatbiztonságot, a személyes adatok kezelésére használt rendszerekkel azok bizalmas jellegét, integritását (érintetlenségét, sértetlenségét, épségét) garantálja.
Kicsit megtévesztő ez a „tudomány” meg „technológia” szöveg, mert semmi „űrtudományt” nem igényel a képen látható helyzet megoldása. Például a személyes adatokat tartalmazó listát ne tegyük az ablakba! De ha már oda tettük, tegyünk rá egy fedőlapot (például egy sima papírlapot), vagy tegyük fedeles dossziéba! Ha ennyit megtettünk, hazatérve büszkén mesélhetjük, hogy mekkora GDPR bajnokok vagyunk, mert ma megvalósítottuk a személyes adatok kezelésére használt rendszerek folyamatos bizalmas jellegének biztosítását, biztosítottuk azok integritását. Jól hangzik, ugye?
Hiszen a GDPR előtt is volt élet, kezeltek akkor is személyes adatokat is, és akkor is volt a személyes adatok bizalmas jelleggének biztosítására bejáratott módszer. Józan észnek hívták. Érdemes felismerni, hogy ennél többet a Rendelet megalkotói sem várnak el. Ha a munkaidő végeztével elhagyva az irodát még be is tennénk egy fiókba az addig asztalon lévő dokumentumokat akkor egy újabb menőnek hangzó dolgot (Clean desk policy) is betartanánk, vagyis a tiszta asztal rendjével még a magamfajta „kukacoskodó” adatvédelmi tisztviselők vitorlájából is ki lehetne fogni a szelet.
Van egy fontos tesztkérdés, amely mindig segíthet.
Úgy kezeljük-e a nálunk lévő személyes adatokat, mint ahogy elvárnánk mástól ezt a saját személyes adataink kapcsán?
Nos a válasz nem nehéz. Ha mi sem szeretnénk egy kirakatban látni a saját nevünket és más adatunkat, akkor ne tegyük ki másét sem oda!