Közösségi média adatvédelmi incidens: mit tanulhat a globális botrányból egy hazai KKV?
2018. április 10.
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodó szervezetet, közintézményt érint, a világsajtóban végigsöprő Facebook – Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.
Az e-aláírásokkal és digitális adatbiztonsággal foglalkozó NETLOCK jelentős mennyiségben kezel személyes adatokat. A bizalmi szolgáltatást végző vállalat szakemberei úgy látják, hogy a globális adatvédelmi incidens rávilágít néhány olyan problémára, amelyek nem csupán a közösségi média óriás vagy a nagypolitika, de akár egy hazai vállalkozás szintjén is tanulságokkal szolgálhat.
Tudatosabb felhasználók hatékonyabban és „fájdalmasabban” érvényesíthetik jogaikat az adatkezelőkkel szemben
„Bár még nem látjuk, hogy az adatkezelési incidens után indult #DeleteFacebook mozgalomhoz hányan csatlakoznak, de az biztosnak tűnik, hogy az ügy hatására tömegek ismerik fel, hogy személyes adataikra érdemes jobban ügyelni. Azzal, hogy a GDPR a közbeszéd témájává vált, várhatóan azt is egyre többen értik meg, hogy az új törvény az eddiginél komolyabb jogokat és lehetőségeket ad kezükbe, ha rendelkezni szeretnének személyes adataikról. A kéretlen reklámlevelektől kezdve a telefonszámunk kiadásán át, nagyon sok olyan hétköznapi eset fordulhat elő, ahol egy átlag fogyasztó keményebben kérheti számon, hogy ki, hogyan, miért és mire használja adatait. Mi úgy látjuk, hogy egyre több lesz a tudatos, jogtudatos felhasználó, aki panasszal él, ha vélt vagy valós visszaélés történik adataival. Ezért minden vállalatnak érdemes végiggondolnia a jelenlegi adatkezelési gyakorlatát és azt is, hol kell változtatnia, hogy elkerülje a jogsértést és az azért járó esetleges büntetést.” – mondta el Varga Viktor az e-aláírás- és hitelesítési specialista NETLOCK adatbiztonsággal foglalkozó felelőse.
A szakember szerint, a biztonságos és szabályszerű adatkezeléshez vezető út egyik fontos mérföldköve egyértelműen a papíron kezelt dokumentumok, adatok digitalizálása, ún. e-konverziója. „A GDPR követelményeinek betartását technikai szempontból leginkább a vállalati folyamatok digitalizálása biztosíthatja. Érdemes lehet bevezetni az e-archiválást és a papíron zajló folyamatok minél jelentősebb részét a digitális térbe terelni, ott pedig kontrolláltan, szabályozottan kezelni az adatokat. Várható, hogy a Facebookon felnövő generációk lényegesen nagyobb figyelmet fognak szentelni – ha úgy tetszik az eddigieknél szigorúbban reagálnak majd – a személyes adataikat nem megfelelően kezelő szervezetek tevékenységére. Ha pedig bizonyíthatóan hibázik az adatkezelő, például egy marketing kampányban, büntetésre is számíthat.” – tette hozzá.
Ha például egy vállalat műszaki szempontból szeretne megfelelni a GDPR-nak, akkor a következő kérdéseket érdemes mérlegelnie, megválaszolnia:
- Szabályozva vannak-e a személyes adatokat tartalmazó fájlok, mappák, könyvtárak kapcsán a jogosultságok, azaz valóban csak azon kollégák férhetnek hozzá az adott információhoz, akik jogosultak rá?
- Rendszeresen frissítésre kerülnek-e az operációs rendszerek, alkalmazások és a víruskeresők, tűzfalak, amelyek megakadályozhatják – vagy legalábbis megnehezíthetik –, hogy a cégnél tárolt adatokhoz illetéktelenek hozzáférhessenek?
- Frissítik-e rendszeresen a hardver eszközöket és azok kiegészítőinek - például wifik, routerek, nasok - programjait?
- Az érzékeny állományokat tároló adathordozók - asztali gépek, laptopok vagy a szerverek merevlemeze, pendrive-ok, külső merevlemezek - titkosítottak-e?
Körültekintőbben válasszuk adatkezelő partnert!
“Az adatvédelmi törvény szerint az adatfeldolgozás során okozott kárért együtt felel a kezelő és a feldolgozó, ezért még jobban érdemes odafigyelni, hogy az ilyen területen érintett üzleti partnereink adatkezelési gyakorlata is rendben legyen.” – teszi hozzá Varga Viktor. A NETLOCK szakembere a facebookos adatvédelmi incidens tanulságaiból kiindulva még a következőkre is felhívja a figyelmünket:
- Az adatfeldolgozásban résztvevő partnereinket gondosan válasszuk ki és ellenőrizzük. A szerződés szigorúan rendezze az adatvédelmi kérdéseket.
- Adatfeldolgozásra külső partner számára csak kizárólag annyi adatot adjunk át, ami az adott projekthez, művelethez feltétlenül szükséges.
- Ha van rá mód, álnevesítve vagy anonimizálva adjuk át az adatokat, amikor az adatok egy része “kódolt” (álnevesítés) vagy hiányzik, vagyis (anonimizált).
- Számítsunk rá, hogy az eddig éppen csak jó vagy csak kicsit nem megfelelő adatkezelési szokások problémákat okozhatnak mert várhatóan egyre többen kérik számon rajtunk, ha nem megfelelően járunk el.
Kapcsolódó cikkek
- Facebook-generáció: jog-tudatosabbak lesznek?
- Újabb változás a Facebook felhasználók hírfolyamában
- Az appok ellenőrzésére kéri felhasználóit a Facebook
- Magyarországi kis- és középvállalkozások felkészülése a GDPR-ra
- GDPR – így kerülhető el a büntetés!
- Mit tehetünk még a GDPR májusi bevezetéséig
- Nyakunkon a GDPR
- GDPR: bajba kerülhetnek a jogászok?
- Ügyvédi törvény vs. GDPR: felkészültek-e a jogászok?
- A magyar vállalatok harmada nincs tisztában a GDPR előírásaival