Néhány szó az arányos intézkedésekről
Mielőtt belevágunk a technológiai és szervezési intézkedések témakörébe, egy fontos dolgot tisztáznunk kell, az pedig az arányos intézkedések fogalma.
A rendelet nem írja elő, hogy pontosan milyen módon kell az adatokat védenünk, például nincs olyan határozat amely megmondaná, hogy milyen titkosításra van szükség vagy hogy kell-e széfbe raknunk a papírokat. Ehelyett az elvárható, arányos intézkedéseket írja elő a GDPR [1]. De mivel is arányos ez az intézkedés?
Adatkezelőként egy dologhoz kell hozzáigazítanunk a védelmi intézkedéseket, ez pedig az érintett adatalanyok kockázata. Nagyon egyszerűen azt kell mérlegelnünk, hogy az általunk kezelt adatok milyen károkat okozhatnak a magánszemélyek életében, ha azokkal valami nem kívánoatos esemény történik.
Sok vállalkozás a kockázati skála alsó részén mozog. Egy internetes műszaki áruházból ha adatok szivárognak, akkor maximum kiderül, hogy valaki vett egy új porszívót, ez az ügyfelekre nézve alacsony kockázatot jelent. Jóval magasabb kockázattal dolgozik egy egészségügyi szolgáltató, akinél már érzékeny egészségügyi adatok is lehetnek. De gondolhatunk akár pénzintézetre, ahonnan a kikerülő financiális információk komoly kockázatot jelentenek az egyes embereknek.
A kockázattal arányos intézkedés nagyon egyszerűen azt jelenti, hogy a fent vázolt kockázatnak megfelelő mennyiségű erőfeszítést teszünk az adatok védelmében. Az említett webáruház esetén az, hogy a rendszerek naprakész technológiát használnak és az alapvető védelmek (tűzfal, szerver védelem) jelen vannak elégséges lesz. Egy fokozott kockázat esetén az adatbázisok titkosítása, a biztonsági mentések magasabb szintű védelme elvárható lehet. Ha pedig kiemelt kockázattal dolgozunk, például vállalkozásunk az ügyfelek DNS adatait tárolja, akkor fejlett behatolás jelző rendszerek, intelligens biztonsági megoldások elengedhetetlenek lesznek.
A fentiekből is látható, hogy az elvárt intézkedéseknek nincs köze a vállalkozás méretéhez. Egy több ezer főt foglalkoztató nagyvállalat esetében is lehetséges, hogy adatkezelésében nem szerepel igazán érzékeny adat, így rendkívüli dolgokat nem kell tenniük, míg egy néhány fős mikrovállalkozás kezében is lehetnek olyan jellegű információk, amik megkövetelik, hogy a vállalkozás jelentős befektetést eszközöljön a biztonságtechnika területén.
A különféle intézkedéseket nem szükséges előzetesen dokumentálni. (Kivéve a magas kockázattal járó eseteket, ahol alapvetés, hogy az összetett szervezési intézkedések írott szabályok formájában jelen legyenek.) Ha hatósági vizsgálatra kerül sor, akkor viszont hitelt érdemlően be kell tudnunk mutatni adatvédelmi technológiáinkat.