Sokba kerülhet a tudatlanság az adatvédelemben

2017.09.09. 09:01

Kevesebb mint 9 hónap múlva életbe lép az új európai uniós adatvédelmi rendelet, a GDPR, amire a vállalatoknak alaposan fel kell készülniük. A Trend Micro nemrégiben végzett felmérése arra mutatott rá, hogy a felsővezetők nem kezelik elég komolyan a szabályozást, túlzott magabiztossággal állnak a megfelelőséghez kapcsolódó kérdésekhez.

A rendelet értelmében a munkaadónak nagyon szigorú szabályok szerint kell az alkalmazottak személyes adatait kezelniük, erre külön protokollt kell létrehozniuk és lehetőség szerint online adatbázist kell kialakítaniuk a rendszerezés és adott információk kereshetőségének biztosítására.

Sok helyen nincsenek tisztában azzal, pontosan milyen adatokat érint az előírás, és az esetleges bírságok mértékét sem mérik fel megfelelően. A felmérés szerint a válaszadók döbbenetesen nagy aránya, 66 százaléka nem foglalkozott azzal, milyen összegű bírságra számíthat, szerintük a szabályok megszegésekor a hírnévből és a márka értékéből veszíthet a legtöbbet a cég, míg 46 százaléka a válaszadóknak azt állította, hogy egy ilyen esemény a meglévő ügyfélkört befolyásolná a leginkább.

Pedig a bírság meglehetősen borsos: akár 20 millió euró vagy a vállalkozás előző pénzügyi évében elért világpiaci forgalmának négy százalékát kitevő összege is lehet – mutatott rá Zempléni Kinga munkajogász.

Illusztráció

Forrás: Businessinsurance.com

A több mint 1100 informatikai döntéshozó bevonásával készített kutatás eredményei alapján a GDPR alapelvei széles körben ismertek. A cégvezetők jelentős része, 95 százaléka tudja, hogy meg kell felelnie a rendeletnek, és 85 százalékuk áttekintette annak követelményeit. Emellett a vállalatok 79 százaléka biztos abban, hogy az általuk kezelt adatok a lehető legnagyobb biztonságban vannak. A Gartner azonban azt vetíti előre, hogy 2018 végére a vállalatoknak még több mint 50 százaléka nem fog teljesen megfelelni a GDPR követelményeinek.

A vezetők tehát látszólag tudatosan kezelik a kérdést, ennek ellenére zavar érzékelhető azzal kapcsolatban, hogy pontosan milyen személyazonosításra alkalmas információkat (Personally Identifiable Information – PII) kell védeniük az előírások alapján.

A felmérésben részt vevők 64 százaléka például nem tudta, hogy az ügyfelek születési dátuma személyazonosításra alkalmas információnak minősül.  

Emellett 42 százalékuk nem tekintette ilyen jellegű információnak az e-mailes marketing-adatbázisokat, 32 százalékuk a lakcímeket, illetve 21 százalékuk az ügyfelek e-mail címét sem. Az eredmények tehát azt mutatják, hogy a vállalatok pontatlan képpel rendelkeznek saját felkészültségükről és biztonságukról. Ezek az adatok ugyanis elegendő információt biztosítanak a hackerek számára, hogy személyazonosságokat lopjanak, ezért büntetésre számíthat minden olyan vállalat, amely nem gondoskodik a megfelelő védelmükről.

A vállalatok nem biztosak abban, ki a felelős olyan esetben, amikor az Európai Uniós adatok egy Egyesült Államokban működő szolgáltató hibájából vesznek el.

Mindössze 14 százalékuk tudta helyesen megmondani, hogy az adatvesztés minkét fél felelőssége

– 51 százalékuk úgy gondolta, a bírság az EU területén működő adattulajdonost illeti, míg 24 százalékuk úgy vélte, az Egyesült Államokban működő szolgáltató a hibás.

Miközben a fenyegetések egyre kifinomultabbá válnak, a vállalatok gyakran nem rendelkeznek a védekezéshez szükséges szakértelemmel. A GDPR előírja a cégek számára, hogy a várható kockázatoknak megfelelő, korszerű technológiákat alkalmazzanak. Ennek ellenére a szervezeteknek mindössze 34 százaléka vezetett be fejlett megoldásokat a behatolók azonosítására, 33 százalékuk fektetett be adatszivárgás elleni technológiákba, és 31 százalékuk alkalmaz titkosítási megoldásokat.

adatvédelemgdpr