Huszonöt éve foglalkozik információbiztonsággal, öt éve az ÉrMe Budapest Klub tagja Lengré Tamás, az ASC Kft. tulajdonosa. Mint interjúnkban elmondja, a GDPR legfeljebb a bírságok terén hoz szigorítást a korábbi Infotörvényhez képest, más tekintetben a követelményeket és a felelősséget teszi egyértelműbbé.
A GDPR-ről hallva az átlagos hazai vállalkozó attól tart, hogy megint bonyolítják, illetve szigorítják a – már amúgy is életszerűtlenül aggályosnak tűnő – adatvédelmi szabályozást. Egyetértesz ezzel a meglátással?
Inkább úgy fogalmazom meg, hogy nagyobb és komolyabb PR-t kapott a személyes adatok kezelésének szabályozása. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, (vagy másképp az Infotörvény) ahogy a neve is jelzi, 2011 óta hatályban van, és rendelkezik a személyes adatok védelméről, kezeléséről. (Persze e törvény előtt is voltak hatályos rendelkezések erre.) A GDPR a bírság mértékének területén valóban hoz szigorítást, de az adatvédelem területén leginkább csak egyértelmű megfogalmazásokat, és az egyénnek a saját személyes adataival történő önrendelkezési jogkörét határozza meg konkrétabban.
Ami mindenképpen új, hogy alapelvként fogalmazza meg az elszámoltathatóság elvét, amely azt jelenti, hogy az adatkezelő, azaz egy vállalkozás felelősséggel tartozik az adatvédelmi szabályoknak történő megfelelésért, és képesnek kell lennie ennek igazolására is. Új rendelkezés az is, hogy meghatározza azon körülményeket, amelyek teljesülése esetén kötelező az adott vállalkozásnak adatvédelmi felelőst (DPO) kineveznie.
Egy átlagos hazai vállalkozónak, ha csak egyetlen munkavállalója is volt akár, az Infotörvény ugyanolyan megfelelőségi kritériumokat támasztott vele szemben, mint a több ezer munkavállalót foglalkoztató, sok tíz, vagy százezres ügyfélkörrel rendelkező multicégre, vagy akár egy állami szervre, amely személyes adatokat kezel. Az igaz inkább, hogy sem az ellenőrzések, sem a nyilvánosságot látott adatkezelési jogsértések száma nem volt olyan magas, így a vállalkozások java része – ideértve az egy fős mikrovállalkozást is és a nagyvállalatot is –, nem fordított túlzottan nagy, vagy elégséges figyelmet a személyes adatok védelmére. A GDPR szerepét leginkább abban látom, hogy konkrét követelmények teljesítését fogalmazza meg a jogi megfelelés és az informatikai környezet terén is.
Ha röviden kellene összefoglalnod, hogy mire kell most a GDPR-rel kapcsolatban figyelniük a kisebb vállalkozásoknak, akkor mit emelnél ki?
Tömören megfogalmazva a GDPR lényege, hogy egységesen magas szintű jogi és technikai védelmet biztosítson a személyes adatok számára, előírva, hogy azokat bizalmasan, az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá.
A vállalkozásoknak, függetlenül a méretüktől, azon folyamataik megfelelőségére kell(ene) fókuszálniuk, amelyek személyes adatok kezelésével, tehát az adatok bevitelével, feldolgozásával, tárolásával, továbbításával, mentésével, archiválásával, törlésével foglalkoznak. E tevékenységek kontrollfolyamatait kell kialakítani, és a szabályzatokban, szerződésekben, munkaköri leírásokban, valamint egyéb dokumentumokban meghatározni, illetve az informatikai környezetben érvényesíteni.
Láttuk, hogy szakmai konferenciákon is tartasz előadásokat – például most februárban és márciusban is – ebben a témakörben. Mióta foglalkozol ezzel, és hogyan kerültél erre a szakterületre?
Azzal kezdeném, hogy egy információbiztonsággal, adatvédelemmel foglalkozó szakember ehhez a témához kevés. Mind az ismeretek átadásánál, mind pedig a felkészülési folyamatnál két terület szoros együttműködésére van szükség: egyfelől a jogi oldalú adatvédelmi szakértőre, aki a jogszábályi megfelelőség követelményeit ismeri, így ő lesz az, aki az egyes, személyes adatokat kezelő vállalati folyamatokat tudja elemezni, megállapítva, hogy például az egyes szerződések, nyilvántartások, belső szabályzatok jelenlegi tartalma megfelel-e az elvárásoknak, hol vannak hiányok, módosítandó részek, illetve milyen belső szabályzatokat kell elkészíteni, mert eddig nem léteztek. A hiányzó szabályzatokra a tapasztalataink alapján az jellemző, hogy alapvetően nem a GDPR követelménye miatt kell elkészíteni, az adott szabályzatnak már régen hatályosnak kellett volna lennie, de a vállalkozás mindeddig nem készítette el.
A másik terület szakértőjének az informatikai rendszerek biztonságához kell értenie, hiszen egy szabályzatban meghatározott követelményt a mai világban leginkább informatikai eszközök, rendszerek környezetében kell megvalósítani.
Jómagam az informatikai terület szakembere vagyok, több mint 25 éve foglalkozom információvédelemmel.
Mióta működik, mivel foglalkozik céged, az ASC Kft.?
Az ASC 16 éves múltra tekint vissza, mindig is az információvédelemmel kapcsolatos tanácsadással foglalkozott, és foglalkozik most is. Ez három fő területet foglal magában: az első az informatikai környezet kialakítása, tervezése, az üzemeltetésének irányítása, a második terület maga az információ védelme, ide tartoznak a sérülékenységi vizsgálatok, a különböző adat- és információvédelmi megfelelőségi auditok, az ISO 27001 tanúsításra történő felkészítés. Végül, miután minden szervezet működése folyamat alapú, az egyes folyamatok felmérése, optimalizálása, a folyamatok működtetésének tervezése, a kiesések káros hatásainak csökkentése, amivel foglalkozunk, szaknyelven kockázatelemzést, BCP- és DRP-tervezést végzünk.
És persze a GDPR rendelkezéseinek történő megfelelésre történő felkészítés is a szolgáltatásaink közé tartozik, jelenleg ezzel az igénnyel keresnek minket leggyakrabban.
Miért csatlakoztál az ÉrMéhez, mit ad neked ez a társaság?
Az ÉrMéhez 5 éve csatlakoztam. Születésem óta hithű kereszténynek neveltek, a Biblia és nagymamám iránymutatásai alapján mindig fontos volt számomra az önzetlen segítés, a támogatás. Az ÉrMe számomra az a közösség, ahol az üzleti világ olyan képviselői vannak jelen, akik munkájukkal, szolgáltatásaikkal támogatni szeretnék egymást, a hit, a becsület, az őszinteség és az egyenesség által vezérelt üzleti világban. Remélem egyre több és több tagunk lesz, hiszen ezek a fogalmak a tiszta üzleti élet alapelvei kell, hogy legyenek. És persze az üzleti részen kívül jó társaságot, a beszélgetéseket, érdekes és értékes vitákat, barátságokat...
B. G.
