Tűz-, víz- és tolvajálló adatok

Folytatjuk korábban elkezdett beszélgetésünket Daniel Niță adatvédelmi biztossal és kockázatfelmérővel a cégek és intézmények adatforgalmára vonatkozó óvintézkedésekről. Az angol betűszóval GDPR-nek nevezett Általános Adatvédelmi Rendelet, amely az Európai Unióban májustól érvényes, még sok fejfájást okozhat azoknak, akik nem szentelik neki az őt megillető figyelmet.

A cégek archívumának, pontosabban a hard-copy, azaz papíralapú archívumnak a védelméről is fontos beszélnünk, Ezeket a személyes adatokat is tartalmazó dokumentumokat egy betörésgátló ajtóval és riasztórendszerrel ellátott helyiségben kell őrizni, az ajtó előtt pedig mozgásérzékelő szenzor felszerelése kötelező. Az iratokat zárható és tűzálló szekrényben kell tárolni, mert az adatok birtokosának az is kötelessége, hogy azokat megóvja az elveszéstől, de hozzáférhetőségüket minden pillanatban biztosítani kell, hogy kérésre bárki bármikor válaszolni tudjon az azokkal kapcsolatos kérdésekre. Tehát ha tűz vagy árvíz esetén elvesznek az adatok, ez egy adatvédelmi incidens, még akkor is, ha nem visszaélés történik.

Azoknak a cégeknek, amelyek a BYOD eljárást alkalmazzák (bring your own device – használd a saját eszközöd rövidítése), azaz megengedik alkalmazottaiknak, hogy a munkahelyen saját telefon, táblagép, számítógép, laptop használatával végezzék a munkájukat, speciális programokra van szükségük, hogy a személyes adatokat megvédjék. A számítógépeket is védelmi rendszerrel kell ellátni, a laptopra, tabletre, okostelefonra, USB-adathordozóra jelszót kell tenni, amelyet csak a rendszer kezelője ismer. A számítógépes rendszer vagy a személyzet nagyságától függően olyan alkalmazásokra (programokra) is szükség van, amelyek az adatokhoz való hozzáférést meggátolják, olyan módon, hogy bevinni sem lehet további adatokat, de kimásolni sem.

Cégeink legnagyobb hiányosságai

– Két csoportra osztanám a cégeket: online tevékenységet folytató cégekre és e nélkül működő vállalkozásokra. Beszéltem már arról, hogy azon helyiségek védelmét kell ellátni, ahol a személyes adatokat gyűjtik, feldolgozzák, archiválják. Ha egy épület minden irodájában irodai tevékenység folyik adatok felhasználásával, akkor elég a főbejárat előtt egy riasztó és kamera, az irodák ajtaja előtt mozgásérzékelők felszerelése. (Bár a video reaktív, nem proaktív rendszer, tehát nem tud védeni, csak reagálni egy incidensre) – fejtette ki Daniel Niță. Hozzátette, hatékonyabb, ha telepítünk a gépekre például egy olyan programot, amely megtiltja, hogy e-mail menjen ki tőlünk bizonyos típusú adattal, például az 1, 2, 5, 6-ossal kezdődő, személyi számot kitevő számsorozattal.

A könyvelési osztályon, ahol nyilvántartják az alkalmazottak, ügyfelek adatait, esetenként a beszállítók (termelők) személyes adatait is, szintén fokozott védelemre van szükség, de a beszerzési vagy eladási osztályon is lehet ilyenre szükség, ez függ a tevékenység típusától. Például egy élelmiszerbolt egyéni termelőktől is beszerzi áruját, a bevételezési papírok tartalmazzák az illetők személyes adatait. Vagy ha egy nagybani lerakatból faanyagot vesz valaki, a szállítmány kísérőlevele és a számla tartalmazza a szállítási címet és az illető nevét, néha a lakcímét is. Egy catering cég is elkéri kliensei nevét és telefonszámát, amelyek elegendőek egy személy azonosításához, éppen ezeket kell a legjobban védeni az újabb uniós rendelet előírásai szerint.

Kinek nincs tennivalója?

– Nagyon keveseknek nincs tennivalójuk a személyes adatok védelme terén. Ha csak cégekkel dolgozunk, magánszemélyektől nem szerzünk be semmit, még akkor is rendelkezem saját alkalmazottaim, vagy a cégek képviselőinek adataival. Egy szerződéshez is kellenek egyéni adatok. Ha ezeket az illető jóváhagyásával tárolom is, de később felhasználom őket marketing-célokra, azt csak egy újabb írásbeli jóváhagyás után tehetem meg – summázott a szakember.