2016 májusa óta hatályos, 2018 májusa óta alkalmazzák - az EU általános adatvédelmi rendelete (GDPR) még mindig sok vállalatot elgondolkodtat: Érintve vagyunk-e? És ha igen: Hogyan érhetjük el a jogbiztonságot? És mit tehetünk az adatvédelmi megfelelés érdekében?

Loading...

2018 májusa óta a személyes adatokat kezelő vállalatoknak - és ezekből elég sok van - fel kell készülniük arra, hogy busás büntetést kapnak. Az adatvédelmi incidensekért kiszabható büntetések jelentősek lehetnek. És ez mindig így van, ha nem felelnek meg teljes mértékben az új GDPR követelményeinek. Ráadásul a német szövetségi adatvédelmi törvény(BDSG) új változata kiegészíti és konkretizálja a GDPR-t. Itt azonban mindenütt bizonytalanság uralkodik:

  • Mi egyáltalán a "személyes adat"?
  • A GDPR szerint "felelős szervezetnek" számítunk-e?
  • Ki az "érintett"?
  • Mit jelent pontosan a személyes adatok "automatizált feldolgozása"?
  • Ki kell-e neveznünk adatvédelmi tisztviselőt?

 

Milyen intézkedéseket kell végrehajtani

A megválaszolandó adatvédelmi megfelelési kérdések listája hosszú.

Igaz, hogy a rendeletben használt fogalmak meghatározása megtalálható a GYIK-listákon. Ez azonban nem feltétlenül garantálja az egyértelműséget az egyes vállalatokra vonatkozó konkrét jelentőség tekintetében. Legkésőbb akkor, amikor a szükséges (mert előírt) intézkedések és kötelezettségek végrehajtása és betartása a munkavállalók részéről függőben van, az ilyen kérdésekre például megfelelő válaszoknak kell születniük:

  • Mi az, hogy "technikai-szervezési intézkedések"?
  • Mikor szükségesek ezek?
  • Mi a helyzet az "arányossággal"?
  • Mi a helyzet a GDPR által megkövetelt számos "ellenőrzéssel", például a "hozzáférés vagy nyilvánosságra hozatal ellenőrzésével"?
  • Hogyan biztosítható az adatvédelmi megfelelés?

Adatvédelem vs. információbiztonság

Az érintett vállalat számára minden esetben az a helyes lépés, hogy hatékony adatvédelmi irányítási rendszer felállítása - egyéni igényeihez igazítva, szükség esetén már akkreditált tanúsítás céljából.

Ami itt gyakran összekeveredik: Az adatvédelem és az információbiztonság két cipőpár, még akkor is, ha vannak átfedések (például különböző ellenőrzési intézkedések). Például azok a vállalatok, amelyek teljesen átfogó információbiztonsági irányítási rendszerrel (ISMS) rendelkeznek, összhangban a ISO 27001 SZABVÁNYNAK MEGFELELŐ bizonyos mértékig lefedik az adatvédelem témakörét.

De még itt is marad egy delta, amelyet egy hiányelemzéssel fel lehet fedezni és le lehet zárni ISMS-szel vagy anélkül.

"A két téma közötti alapvető különbség: Az információbiztonság a vállalat adatait védi a harmadik felek visszaéléseitől; az adatvédelem a személyes adatok védelmét célozza."

2019 augusztusában a ISO 27701 új szabvány jelent meg, amely az információbiztonsági menedzsmentben az adatvédelemre vonatkozó követelményeket fogalmazza meg. Az ISO 27701 tehát az ISO 27001, az ISO 27002 (útmutatás az információbiztonsági intézkedésekhez) és az ISO 29100 (adatvédelmi keretrendszer) alapján határozza meg az adatvédelmi irányítási rendszert. Az ISO 27701 az ISO 27001 kiegészítője. Az új szabvány szerinti tanúsítás önmagában nem lehetséges.

Adatvédelmi megfelelés - előnyök

Ön megkapja

  • Megbízható információ a cselekvési területekre vonatkozóan
  • Ismeretek a rejtett lehetőségekről
  • Nagyobb cselekvési biztonság és jogbiztonság az adatok kezelésében a megfelelő intézkedések végrehajtása után

A biztonságos oldalon - a DQS adatvédelmi auditjával

Az adatvédelem terén megfelelésre törekvő vállalatoknak ezért két dolgot kell tenniük: a lehető leggyorsabban meg kell ismerkedniük maguknak vagy a megfelelésért felelős tisztviselőiknek a témával, és egy független szervvel, például a DQS-szel hiányelemzés formájában meg kell állapíttatniuk a jelenlegi állapotot.

Egy ilyen adatvédelmi audit középpontjában a dokumentumok áttekintésével egybekötött önértékelés áll. Ezt követően a helyszínen ellenőrzik, hogy a vállalat megfelel-e az alapvető adatvédelmi szempontoknak. A jelentésből kiderül, hogy van-e szükség intézkedésre, és ha igen, milyen intézkedésekre van szükség.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

DQS GAP-elemzés Adatvédelem

Mennyi munkát igényel egy GAP-elemzés? Tudja meg ingyenesen és kötelezettség nélkül.

Szerző
Gert Krueger

A DQS információbiztonsági, BSI-KritisV és adatvédelmi szakértője és projektmenedzsere. Emellett régóta auditor a minőség- és környezetgazdálkodás területén.

Loading...