Az új, EU adatvédelmi szabályozásnak történő
megfelelés 2018 májusban válik kötelezővé, de a felkészülést jóval korábban el
kell kezdeni ahhoz, hogy a megfelelőség biztosított lehessen. A 2017-es év sok
szervezetnél a GDPR-re történő felkészülés jegyében telik majd, ugyanis az új
előírások be nem tartása nagy összegű bírságokat vonhat maga után. Az enterprise architect szakemberek jelentős
segítséget jelenthetnek a felkészülésben és a megfelelőség folyamatos
fenntartásában.
A rendelet
Az EU általános adatvédelmi rendeletének (GDPR,
General Data Protection Regulation) pontos címe: Az Európai Parlament és a
Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a
személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok
szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről
(általános adatvédelmi rendelet). A rendelet teljes szövege elérhető itt.
Az Európai Unió eddig irányelvi formában
szabályozta az adatvédelmet. A 2018 májusától hatályos GDPR rendeleti szinten
szabályozza a kérdést, azaz előírásai minden tagállamra egységesen érvényesek,
hatálya pedig minden olyan adatra kiterjed, amellyel azonosítható egy EU-n
belüli lakhellyel rendelkező természetes személy. A rendelet megszegéséért kiszabott bírság akár
a cégcsoport éves árbevételének 4 százalékát is elérheti.
A rendelet egységes keretet biztosít az
európai szintű adatvédelem számára, de több ponton lehetőséget ad a
tagállamoknak az egyedi szabályozásra. Továbbra is figyelni kell majd a helyi
sajátosságokra, és ennek megfelelően a nemzetközi cégeknek az egyes tagállamokban
működő részlegeikre eltérő terhet jelent majd a GDPR bevezetése.
Az adatkezelőnek igazolnia kell, hogy kellő
gondossággal kezeli és védi a személyes adatokat. Ha egy cégtől kikerülnek az ügyfelei,
dolgozói vagy partnerei személyes adatai, a kártérítés alól az adatkezelő csak akkor mentesül,
ha bizonyítani tudja azt, hogy semmilyen módon nem felelős az adatszivárgásért. A
gyakorlatban ezáltal minden adatkezelési kérdés informatikai kérdést is jelent,
hiszen az adatkezelőnek azt kell igazolnia, hogy megfelelő biztonsági rendszereket
és folyamatokat használ. A rendelet számos új elvárást fogalmaz meg az olyan
szervezetek számára, amelyek az Európai Unió területén, vagy azon kívüli
területen, de az Unió polgárai számára adatkezelést végeznek.
Jelentősebb
újdonságok:
- Személyes adat definíciójának kiterjesztése
- Személyes adatok kezelésével kapcsolatos üzleti tevékenységek dokumentálásának szükségessége
- Személyes adatok kockázatokkal arányos védelme
- Személyes adatokat érintő incidensek kötelező, 72 órán belüli bejelentése
- Szervezeti adatvédelmi felelős kinevezése
- Adatok kérés esetén történő kötelező (visszamenőleges) törlése és olvasható formában történő visszaadása.
Felkészülés
A GDPR megfelelőséggel kapcsolatos feladatok
tehát itt vannak és jobb időben odafigyelni ezekre. Maga a szabályozás szigorú,
széleskörű előírásokat tartalmaz az adatvédelem vonatkozásában. Az architektek
kulcsszerepet játszhatnak a megfelelőség biztosításában. Ehhez a vállalati
architektúra modelleket, architektúra dokumentumokat és architekti eszközöket hatékonyan
fel kell tudni használni. Az adatvédelmet architektúra modellek felhasználásával
lehet hatékonyan elemezni és fejleszteni.
A rendelet megfogalmazása szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A rendelet megfogalmazása szerint „személyes adat” az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Vagyis már a cookie használat, illetve a
honlap látogatók IP címeinek tárolása is felelősséggel jár.
A GDPR alapelvei:
A GDPR alapelvei:
- jogszerűség, tisztességes eljárás és átláthatóság
- célhoz kötöttség
- adattakarékosság
- pontosság
- korlátozott tárolhatóság
- integritás és bizalmas jelleg
- elszámoltathatóság
Az architektek szerepe
A GDPR megfelelőség biztosításában hogyan is
tud segíteni a megfelelő architektúra, miért az architektúra a megfelelőség
kulcsa?
A megfelelőséghez a személyes adatok
használatáról széleskörű áttekintéssel kell rendelkeznie a szervezetnek: milyen
céllal történt az adatgyűjtés, hogyan történt, kiknek van hozzáférésük, hol
tárolódnak az adatok, milyen külső felek bevonása történt meg, milyen külső /
belső veszélyek léteznek, stb. Az
architektúra az ilyen jellegű információk legfőbb forrása. Ezen kívül az
úgynevezett security-by-design elengedhetetlen a biztonságos és a folyamatos
megfelelőséget garantáló jövő érdekében.
Az architektúra modellek felhasználhatók a kockázatok csökkentésére és GDPR megfelelőség biztosítására. Rendszeresen elemezni kell a lehetséges veszélyeket és sebezhetőségeket. Fejleszteni kell az enyhítő intézkedéseket összhangban az adatok biztonsági minősítésével. Abban az esetben, ha a biztonsági rendszer megsérül, megfelelő architekti eszközzel megtörténhet a lehetséges hatások felmérése és a megfelelő ellenintézkedések megtétele. Az architektúra modellek hasznosak ezen kívül a megfelelés bizonyítására a szabályozó hatóságok irányába.
Az architektúra modellek felhasználhatók a kockázatok csökkentésére és GDPR megfelelőség biztosítására. Rendszeresen elemezni kell a lehetséges veszélyeket és sebezhetőségeket. Fejleszteni kell az enyhítő intézkedéseket összhangban az adatok biztonsági minősítésével. Abban az esetben, ha a biztonsági rendszer megsérül, megfelelő architekti eszközzel megtörténhet a lehetséges hatások felmérése és a megfelelő ellenintézkedések megtétele. Az architektúra modellek hasznosak ezen kívül a megfelelés bizonyítására a szabályozó hatóságok irányába.
Az architektúra modelleket célszerű
felhasználni az adatok osztályozására az érintett biztonsági és adatvédelmi
attribútumok használatával. Architektúra modellt felhasználhatjuk arra is, hogy
bemutassuk a személyes adatok áramlását, elhelyezkedését és feldolgozását az informatikai
rendszerekben, üzleti folyamatokban és külső szereplőknél. Modellezhető a
felhasználás célja, és ezzel fokozatosan felmérhető az adatok használata
szervezeti egységenként, IT alkalmazásonként és munkakörönként.
Az architekti eszközökben a fentiekkel kapcsolatban készített modellekből készíthető például olyan „hőtérkép”, amely megmutatja, hol vannak a legkritikusabb sérülékenységek, mit kell tenni ezekkel kapcsolatban. Fejlett architektúra modellekkel és eszközökkel a vezetői döntések meghozatalához jelentős támogatás nyújtható. Készíthetők olyan riportok vagy akár vizuális „műszerfalak”, amelyek a kockázatok, a megfelelőség szemléltetésére alkalmasak és segítenek a problémák priorizálásában és a megfelelő tevékenységek meghatározásában. Akár a szükséges befektetések összeköthetők az alkalmazások életciklusával is és így egészen komplex ütemtervek készíthetők.
Az architekti eszközökben a fentiekkel kapcsolatban készített modellekből készíthető például olyan „hőtérkép”, amely megmutatja, hol vannak a legkritikusabb sérülékenységek, mit kell tenni ezekkel kapcsolatban. Fejlett architektúra modellekkel és eszközökkel a vezetői döntések meghozatalához jelentős támogatás nyújtható. Készíthetők olyan riportok vagy akár vizuális „műszerfalak”, amelyek a kockázatok, a megfelelőség szemléltetésére alkalmasak és segítenek a problémák priorizálásában és a megfelelő tevékenységek meghatározásában. Akár a szükséges befektetések összeköthetők az alkalmazások életciklusával is és így egészen komplex ütemtervek készíthetők.
Előnyök
Összefoglalásul, az architekti módszerek és
eszközök bevetésével nyerhető előnyök közül kiemeljük:
- Proaktív közreműködéssel kezeli a biztonsági és adatvédelmi kockázatokat a security-by-design megközelítés révén
- Hasznosítja a meglévő architektúra modelleket a kockázatelemzéshez
- Segít abban, hogy ott történjen befektetés a biztonság érdekében, ahol az valóban számít
- Biztosítja és demonstrálja is a megfelelőséget
- Segít elkerülni a súlyos bírságot és a jó hírnév elvesztését.
Nincsenek megjegyzések:
Megjegyzés küldése