fbpx

GDPR úgy, hogy anyukám is értse

A GDPR komplex. Nem az. Összefoglaljuk mi is ez:

  • 1 mondatban
  • 10 pontban
  • hosszabban: 3 folyamat és 2 dokumentum elkészítésével hogyan juthatunk el hogy az alapok rendben legyenek

GDPR 1 mondatban

Ne húzd fel az előfizetőidet, vevőidet, ügyfeleidet azzal hogy visszaélsz a személyes adataikkal.

Egyszerű.

GDPR? Egyszerű. Mi szóltunk.

GDPR 10 pontban

  1. GDPR? Személyes adatok.

Ha madarakról, autókról, számlákról tartasz nyilván adatokat — amelyeknek nincs köze emberekhez — az nem személyes adat. A GDPR ezekkel nem foglalkozik.

2. Voltak szabályok a GDPR előtt is, csak a büntetési tételek növekedtek. Tehát ha korábban megfeleltél, most is jó leszel.

3. A személyes adatok bármi, amit önmagában vagy más adatokkal kombinálva fel lehet használni, hogy valakit személyként azonosítsanak. Ez a személy ún. adat-alany. De ez nem számít. A lényeg az azonosítás.

A lényeg az, hogy a bal oldalon levő adatok alapján az adott személy azonosítható

4. A személyes adatok különleges kategóriái: bármi, amit nem szeretnél ha Rólad közzétennének.

Faji vagy etnikai származás, politikai vélemények, vallási vagy filozófiai hiedelmek vagy szakszervezeti tagság, a genetikai adatok feldolgozása, biometrikus adatok természetes személy egyedi azonosítása céljából, egészségügyi adatok vagy a természetes személy szexuális életére vagy szexuális életére vonatkozó adatok

5. A területek amelyeken a GDPR segít az egyes személyeknek:

  • Explicit beleegyezés joga— bele kell egyeznie abba, hogy adataik az adatbázisban tárolódnak; lehetnek kivételek ez alól: ha szerződéses jog érvényesítéséhez vagy törvényi előírás miatt kell tárolni az adatot
  • A törléshez való jog — szintén lehetnek kivételek
  • Információhoz való jog —ki és milyen adatot tárol rólam
  • Az adatkezelés korlátozásához való jog-kb. mint a törlés csak bizonyos adatokat nem szeretném ha tároljanak rólam
  • Adatvédelem — az adatokat tároló cégnek az informatikai rendszereket olyan módon kell felépítenie, hogy megóvják személyes adatait
  • Személyes adatok átvihetőségének lehetősége: más rendszerbe betölthető formátumban letölthetőek legyenek az adatok

6. Adatkezelő (szép magyar szóval: “Controller”, avagy “Ellenőr”, aki “kontrollálja” az adatokat): mindenki, aki aktívan kezeli a személyes adatait a vállalat nevében. Minden más szervezet, amely más cég nevében személyes adatokat tárol, (szép magyar szóval: Processor, avagy adatfeldolgozó) Adatfeldolgozó.

Azért írtuk ide az angol megfelelőt is, mert a magyar fordítás nem valami szerencsére sikeredett.

7. Hatóság: Ők lesznek a rossz fiúk-a szemedben. A vevők, az ügyfelek, a betegek stb. neki tehetnek bejelentést. Magyarországon ő a NAIH. Nem azok a fiúk, akik megnyerik a következő szépségversenyt, de próbálnak azért segíteni. Egyre többet.

8. Adatvédelmi Tisztviselő (ún. “Data Protection Officer”- ez a fordítás jól sikerült!:): valaki, aki kezeli a GDPR dolgokat a cégednél, és az ügyfelekkel való kapcsolattartást, ha információkérelmekkel vagy panaszokkal élnek. Kinek van szüksége DPO-ra? — lásd alább.

9. Adatvédelmi incidens: amikor a személyes adatokkal vagy az azokat tároló rendszerrel gebasz történik. Jelenteni KELL a hatóságnak. Ne sumákold el, nem éri meg. Ha őszinte vagy, jobb eséllyel úszod meg a dolgot.

10. Adatvédelem és személyes adatok kezelése: a GDPR két fő célja: az egyik arról szól, hogyan véded meg azt ami Nálad van, a másik (adatkezelés) arról hogyan kezeled, mit csinálsz azzal ami Nálad van.

GDPR RÉSZLETEKBEN — DE NEM TÚL RÉSZLETESEN

LÉPÉS 1: Tudd hogy mikor kezelsz személyes adatot

A személyes adatok olyan adatok, amelyek alapján valódi, konkrét személyeket lehet azonosítani. Legyen ő halott vagy legyen még életben.

Tudjuk, hogy ez az ábra már szerepelt. De fontos: alényeg az, hogy a bal oldalon levő adatok alapján az adott személy azonosítható

Példák

  • egy számítógép MAC-címe (a számítógép azonosítója, amelyen a felhasználó be van jelentkezve) és a felhasználónév: együtt azonosításra alkalmasak.
  • képem, amelyen látszik az arcom — lehet akár ipari kamera felvétele
  • egy GPS koordináta — azonosításra külön-külön is alkalmasak (!) együtt biztosan
  • e-mail cím-egyedül önmagában is

Tárol a céged személyes adatot? Ha igen, olvass tovább. Ha nem, irány egy sör. Vagy bor. Vagy desztillált víz. Vagy levegő.

LÉPÉS 2: Tudd, hogy ki vagy: Adatkezelő vagy Adatfeldolgozó

Ha a céged határozza meg

  1. az adatfeldolgozás célját (Miért?)
  2. vagy hogy hogyan dolgozzák fel az adatot( Hogyan) ?

AKKOR a céged Adatkezelő (Controller).

Minden más esetben Adatfeldolgozó (Processor).

Lehet egy cég egyszerre mindkettő? Természetesen. Pl a 10xONE.COM cégünk, amely cégeknek nyújt minden-egyben felhő szoftver szolgáltatást, mindkettőt végzi:

  • saját alkalmazottai adatait tárolja mint Adatkezelő
  • jó néhány más cég (sok száz 100 terrabájtnyi) adatát tárolja mint Adatfeldolgozó

LÉPÉS 3: ÉRTSD MEG AZ ALAPOKAT: MI IS TÖRTÉNIK?

A GDPR alapjai — és összefüggéseik. Nem kell megtanulnod. Nem töröljük a cikket. Soha.

Jogalap: ez kulcsfontosságú, ez a GDPR középpontja: a GDPR nem azt mondja, hogy ezt vagy ezt meg kell tenned. Csak azt mondja hogy

  • kell legyen oka annak hogy amit teszel miért teszed és
  • be kell tudnod bizonyítani hogy átgondoltad ezt és nem csak úgy mondod

Mindössze annyit kell tenned, hogy eldöntöd és dokumentálod ezeket minden azonosítani kívánt adatelemre. Lásd a következő pontot.

Várj: a “jogalap” nem kristálytiszta: igen: ez a helyzet: meg kell ítélni, és dokumentálni kell. Mint ilyen, nincs egyértelmű meghatározás a “jogalapra”. Mindig ugyanezt a tesztet kell elvégezni:
HA (IF) Személyes adatok védelme > A feldolgozás (jog)alapja AKKOR (THEN) megállítja a feldolgozást
KÜLÖNBEN (ELSE)
folytathatod a feldolgozást.

Azaz ha a személyes adatok védelme fontosabb mint az az ok ami miatt Te feldolgozod őket (vagy ameddig feldolgozod őket) akkor ne tedd.

LÉPÉS 4: KÉRD MEG AZ INFORMATIKUSODAT HOGY TEGY MEG EZEKET AZ EGYSZERŰ DOLGOKAT

Alapvetően kib*÷>ul nagyon kiemelten fontos — nem viccelünk

Informatikai szempontból 3 dolgot kérhetsz az informatikusodtól — ezek egyike sem atomfizika és nem kell hogy Te értsed.

  • Álnevesítés: nem mentek el otthonról, köszönjük jól vagyunk. Egyszerűen annyit jelent hogy teszel valamit az adatokkal hogy ne tudjanak az adatok alapján személyt azonosítani. Pl. a karaktereket összekevered a névben, összekevered a születési dátumokat és az e-mail címeket az adatbázisban. Ezt akkor teheted meg, ha a szoftver támogatja ezt. Ha nem, akkor írhatsz scripteket, vagy a legrosszabb lehetőség az, hogy kézzel csinálod. Lehet, hogy ezt a) azonnal, ha feldolgoztad statisztikai szempontból az adatokat (pl. megvan hogy a weben regisztráltak közül hány nő és hány férfi) b) egy adott idő után
  • Titkosítás: ez az alapértelmezett alapértelmezett legyen. Még mindig otthon vannak nálunk, köszönjük! És mondtuk, hogy alapból ezt kell tenni? Csináld. Beszélj az informatikusoddal. Most. Titkosítás: a telefonok, a laptoplemezek, az asztali lemezek, a szerver tárolólemezei és a secretcube.com segítségével tárold adataidat-ok, ez itt reklám, de ha tényleg jó rá a cucc, használd! A titkosítás, ha helyesen történik, nem fáj. Szükség van még egy jelszóra, és ennyi.
    Bármely okos GDPR szakértő (nem sértegetjük őket, van közöttük tényleg okos!) el fogja mondani, hogy sem a titkosítás, sem a többi teendő nem kötelező. Sőt: semmi nem kötelező.
    De: ha feltörik a szervereidet – ami meg fog történni, nem mi leszünk azok és nem tudjuk hogy ki és mikor, de jó esélyed van rá – akkor ne azon aggódj, hogy “legalább titkosíthattam volna a dolgokat”. Amikor ellopják a kollégád laptopját – ugyanez a helyzet. Vannak persze rosszabb dolgok is (amikor először leég majd utána szétesik a palacsinta és már a 4.-nél tartasz és ez ismétlődik), de azért az se jó érzés amikor a fejedet fogod egy olyan dolog miatt ami plusz 5 perc vagy max 1-2 óra és meg is csinálhattad volna de nem szántál rá időt. Tudjuk, hogy sok ilyen van. De ez FONTOS. Tényleg az. Minél több adatot kezelsz annál inkább.
  • Törlés: ja. Lehet, hogy ezt a) azonnal, ha feldolgoztad statisztikai szempontból az adatokat (pl. megvan hogy a weben regisztráltak közül hány nő és hány férfi) b) egy adott idő után

Nem kell egyedül, kérj az informatikusodtól segítséget.

Azt fogja mondani, hogy nem egyszerű. Hidd el, ez tényleg nem mindig az. De nem lehetetlen és megéri! Sokkal jobban alszol majd.

Még valami amiket kérj meg az informatikusodtól:

  • Tűzfalak: legyen a cégednek és legyen rajta friss a szoftver. Lehet hogy pár 10 ezer forint, de ennyiért már egész jó kis alap tűzfalak vannak. Vagy vegyél secretcube.com — ot (túltoltuk? 🙂 bocsánat!)
  • VPN: az informatikusod tudni fogja: ha távolról kezelsz fájlokat vagy töltesz fel vagy le adatokat, akkor használd
  • Https: alap, kötelező. A google is büntet, ha nincs. Ha van bármilyen felhasználói név, belépés, email cím beírás bármi ilyen a weblapodon, akkor legyen https-ed is. Ha az informatikusod azt mondja, drága, mutasd meg neki ezt (katt). Ingyenes https tanúsítvány. Bárkinek. Bárhol. Örökre. Nem, nem a mi cégünk. Nem reklám.

LÉPÉS 5: TEDD MEG EZEKET A DOLGOKAT

Állíts fel 3 folyamatot.

Egyszerű. Ez nem tudomány!

A folyamat az olyan dolog amit újra és újra elvégzel. Hívd csak rutinnak. Dolognak amit mindig csinálsz. Bárhogy.

LÉPÉS 6: FELÜGYELET ÉS JELENTÉSI FOLYAMAT

Fogj egy papírt. Google dokumentumot. Google sheet-et. Bármit ahova írni tudsz. A falat hagyd ki. Nem kell.

Írd le ezeket és írj mellé nevet. A neveket cseréld ki. Csak példának vannak ott! Ja és ha zavar hogy “folyamat”-ot írunk, hagyd ki. Senkit nem fog zavarni.

-P1 — GDPR felügyeleti és jelentési folyamat-Felelős: Ádám

-P2 — GDPR elemzés és megfelelési folyamat-Felelős: Éva

P3 — GDPR személyes adat kezelési folyamat-Felelős: a Jó Isten (<- nem a legjobb választás. Isten mindenért felel de nem fog Neked a bíróságon személy szerint megjelenni. Ha megtenné mégis, benne leszel a hírekben!)

LÉPÉS 7: ELEMZÉS ÉS MEGFELELÉSI FOLYAMAT

Micsoda?!?

Ismét: mi van!??

OK —egyszerű. Ismét. Ez az amit egyszer végzel el. És aztán újra és újra.

Ezért hívjuk folyamatnak. Emlékszel még rá, ugye?

ÁLLÍTSD FEL a) Elemezd a rendszereket és dokumentáld az eredményeket, és rendelj hozzá szabályokat — ez nem olyan bonyolult

Egy darab papír, Google docs, Google sheets stb. OK: a Microsoft Excel is rendben lesz.

Írjd, milyen rendszerekkel rendelkezel, kitől (szállító), és milyen főbb személyes adatokat tartanak.

  • “Izé” (szállító, termék neve) Webshop: e-mail, név, neme, életkor, cím
  • “Izé” (szállító, termék neve) számlázó szoftver: név, lakcím
  • “Izé” (szállító, termék neve) E-mail szoftver: név, e-mail

Aztán készíts egy táblázatot, valami ilyet:

-Rendszer

-Személyes adat

-Miért tárolod

-Szabály – töröljük pl. 5 év után

-Miért ez a szabály

-Tennivaló – ha van

-Felelős

A sample analysis with rules for all your personal data

Szabály: bármi ami megmondja, hogy mégis mit teszel azzal az adott típusú adattal: meddig tartod meg, mikor törlöd, tikosítod-e, összekevered (álnevesíted)-e

ÁLLÍTSD FEL b) Legyen adatvédelmi felelősöd (“Data Protection Officer” — DPO)

Kelleni fog ha a céged (szervezeted):

  1. közhatalmi szerv vagy egyéb közfeladatot ellátó szerv
    (függetlenül az általuk kezelt, illetve feldolgozott adatoktól);
  2. fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; vagy
  3. fő tevékenysége szerint nagy számban kezel különleges adatot (ugye már tudod, mi az?) vagy bűnügyi adatot
  4. ha bármely egyéb magyar jogszabály előírja azt

És most jön a feketeleves: bármely cég, amely egy “jó nagy” e-mail címlistát, Facebook-feliratkozó listát stb. kezel a 2-esbe tartozik.

És: nem, a GDPR-nak nincs erről semmilyen konkrét meghatározása.

Mi egy Adatvédelmi felelős feladata?

  • tájékoztat és szakmai tanácsot ad
  • ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is)
  • a kollégák adatvédelmi tudatosság-növelése és képzése
  • segíti és nyomon követi az adatvédelmi hatásvizsgálatot
  • együttműködik a hatósággal

Mindenek előtt: ismerje a GDPR-t. Nem kell szakértőnek lennie, de a “szellemiségével” legyen tisztában.

ÁLLÍTSD FEL c) A megfelelést biztosító megoldásokat, rendszereket

Nos. A rendszeren múlik, tudjuk. Egyes szoftverek segítséget nyújtanak a megfeleléshez. Például a WordPress egy új adatvédelmi beállítással rendelkezik, ahol beállíthatod az Adatvédelmi irányelveket. Kérdezd meg a rendszer forgalmazóját vagy az informatikusod. Ez lehet a következők bármelyike:

  • adatvédelmi irányelvek oldal a regisztrációhoz és a lábléchez egy weblap esetén
  • szabályok adatok törléséhez, álnevesítéséhez (pseudonymisation)

Kérd meg ismét az informatikusodat!

ÁLLÍTSD FEL d) Írj Adatvédelmi és kezelési szabályzatot, és tedd közzé

Rengeteg ilyen található az interneten. Írd. Meg. És. Kész. 1–2 óra alatt megvan.

Nos — ha 5000 fős cég vagy, lehet hogy tovább tart kicsit. Kicsit.

Tedd közzé….tudod: ha átúszod az óceánt, de nem meséled el senkinek esete, ha nem teszed meg.

ÁLLÍTSD FEL e) OPCIONÁLIS, DE SZERINTÜNK CSINÁLD MEG RENDESEN! Írj egy Üzletmenet folytonossági tervet, és fogattasd el mindenkivel, hogy tudják, hogy az érintettek mit tehetnek, ha g#> * sz történik

Legyen ilyen terved. Ismét: sok ilyen mintát találsz a neten. Legyen benne:

  • Hatásvizsgálat: mennyire súlyos egy-egy esemény, előre sorold be, ne később találd ki.
  • Jelentés az adatvédelmi hatósághoz: ha az esemény személyes adatokat is tartalmaz — jelentést kell róla tenned.
  • Kit mikor kell értesíteni: egy egyszerű táblázat kb. “riadóztatási terv” az összes telefonszámmal az informatikai szállítók és távközlési szállítók vonatkozásában, hogy ne akkor kelljen telefonszámokat keresni amikor gond van
  • Kinek mi a teendője ha gond van: egy belső feladat-lista ami leírja hogy ki mit csinál

ÁLLÍTSD FEL f) Képzés

Tarts legalább egy rövid képzést a következőkkel:

  • GDPR alapok —pl. ez a cikk
  • Üzletmenet folytonossági terv átbeszélése
  • Adatvédelmi és adatkezelési szabályzat átbeszélése

Dokumentáld ezt is, hogy volt ilyen.

ÁLLÍTSD FEL g) Adatvédelem a tervezésnél, alapból-na ez mi lehet?

Ha új szoftvert vezetsz be, akkor a következőknek kell teljesülnie-ennek kötelezően benne kell hogy legyen nem opcionális:

  • személyes adatok azonosítása-előre azonosítani és dokumentálni kell ha lesz ilyen
  • szabályok meghatározása ezekre: már tudod, mik ezek: titkosítod, álnevesíted, törlöd

Kérd meg az informatikusodat hogy ellenőrizze, hogy egy-egy új szoftver bevezetésekor ezekre is figyeltek-e. Ha nulláról építesz új rendszert ellenőriztesd ezeket. Ha létező szoftvert változtatsz, akkor is nézesd meg hogy teljesülnek-e ezek a dolgok.

ÁLLÍTSD FEL h) Legyen nyilvántartásod az adatvédelmi incidensekre

Legyen egy feladatkezelő, egy bejelentés-kezelő szoftver vagy egy Google Sheet. Mindegy.

Válassz egy olyan rendszert, amely minden eseményhez hozzárendel egy időbélyeget és egy egyedi azonosítót. Anélkül, hogy ezek az emberek úgy gondolják, hogy csak kézzel utólag összeraktuk a bejegyzéseket, ha valamilyen incidens fordulna elő. Na jó, akkor lehet, hogy a Google Sheet nem is jó erre.

LÉPÉS8: Adatalany-kezelési folyamat

Ez bonyolultnak hangzik. Nem az pedig.

3 folyamat kell hozzá:

  • Kérj explicit beleegyezést minden olyan esetben, ahol nincs szerződés, vagy nincs jogalap arra, hogy a személyes adatokat kezeld. Gyakorlatilag ez egy jelölőnégyzetet és egy linket jelent a jelölőnégyzet mellé az Adatvédelmi és kezelési irányelvekhez minden olyan ponton ahol feliratkoztatsz és először kérsz személyes adatot.
  • Tedd ki az Adatvédelmi és kezelési szabályzatod a weblapodon egy jól látható helyre. Elég csak a hivatkozás. Ne dugd el. Légy büszke rá.
  • Engedélyezzd a személyek eltávolítását a nyilvántartásaidból. Tégy közzé egy e-mail címet az Adatvédelmi és kezelési szabályzatodban, aki majd elvégzi ezt. Az eltávolítás a legfontosabb: ha valaki feldühödött veled, meg fogja ezt kérni Tőled. Ha nem találja meg, hogyan kell, akkor jelenteni fog a hatóságnak.
  • Bármi egyéb: pl. információ kérés hogy milyen adatokat tárolsz róla.

Add hozzá ezeket is az Adatvédelmi és adatkezelési szabályzatodhoz.

FONTOS LINKEK

GDPR eredeti szövege

ZÁRÓ JEGYZETEK

Sok minden más van még és a végén el lehet bonyolítani.

De: ha még nem tettétek meg ezeket, akkor még mindezeket pár órán belül megteheted. Hozd el az ügyvédedet és az informatikusodat tartsd a vonal végén, miközben csinálod. Segítenek.

Nem fogadj el se cukorkát idegenektől se tanácsot olyanoktól akik azt mondják:

  • Azt mondja, hogy tud olyan módszert vagy eszközt amellyel képes 100%-ig a GDPR-nak megfelelni. A szabályok még mindig nem 100% -ban tiszták, és nincs 100% -os megfelelés. Mivel nincs 100% -ban biztos fogamzásgátló sem.
  • Irracionálisan nagy összeget kér a megfelelés biztosítása érdekében — csak azon lépések azonosítása érdekében, amelyeket egyébként úgyis Te fogsz megcsinálni. Ha nem érsz rá és hiszel benne, úgyis látod, hogy mennyit ér ez meg Neked, csináltasd külsőssel. De ne erre költsd el a fejlesztési pénzeidet.
  • Aki azt mondja, hogy nem kell semmit sem tenni. Nagyon valószínűtlen, hogy a “semmit sem csinálsz”-szal rendben leszel. Hacsak nem te vagy a hírszerzés. Vagy a CIA. Vagy a NASA. Vagy…

A SZERZŐKRŐL

Három vállalkozásunk van, közülük kettő közül kettőnek van valami köze az adatvédelemhez, biztonsághoz:

10xONE: http://www.10xone.com/ egy minden-egyben felhő üzleti szoftver, amely ISO27001 (információ-biztonsági) tanúsítvánnyal is rendelkezik a kezdetektől, mivel az adatbiztonságot elsődleges kérdésként kezeljük régóta. Soha nem mondtuk, hogy 100% -osan golyóálló, de megtesszük, amit tudunk. Még kicsit többet is.

A 10xONE a Vállalkozz Digitálisan programban minősített szállító. Pályázz informatikai rendszerre és hardverre.

SecretCube: http://www.secretcube.com/, ez egy helyben (az otthoni vagy irodai fájlokhoz) használható minden-egyben tároló doboz ami könnyen telepíthető és használható; alapból titkosított és mindent duplán tárolunk rajta, szintén titkosítva. Minden felhasználónak titkos saját fiókjai is lehetnek.

iAGE több mint egy évtizede dolgozik az informatikai rendszerek változásán és modernizációján. Nos. Ez az egyetlen olyan vállalkozás, amely nem érinti közvetlenül az adatbiztonságot.

Segítünk ha kell. Írj nekünk pcz@secretcube.com vagy pcz@10xone.com

A 10xONE a Vállalkozz Digitálisan programban minősített szállító. Pályázz informatikai rendszerre és hardverre.