Év végi cikksorozatunkban a marketinget érintő online jogi változásokat követjük nyomon. Előző írásomban megmutattam, hogy az adatvédelmi nyilvántartás nem arról szól, amit gondolnak róla (ezt itt olvashatod), ma pedig az adatbiztonságról lesz szó.
A személyes adatok tárolásával, feldolgozásával kapcsolatos biztonsági elvárások eddig is szerepeltek az adatvédelmi törvényben. Ezek a klasszikus, a józan ész alapján is egyszerűen belátható általános követelményeket tartalmaztak: ne jusson illetéktelenek kezébe, ne lehessen illetéktelenül módosítani, legyen védve mindenféle külső veszélytől (üzemzavar, vírus, hacker stb).
Ez az általános szabály továbbra is él, de kiegészült két lényeges elemmel.
Egyrészt az új törvény tételesen is felsorol olyan biztonsági intézkedéseket, amelyeket mindenképpen be kell vezetni. Másrészt ez a tételes felsorolás új ellenőrzési és ezzel bírságolási jogalapot is keletkeztet.
A jelenleg még hatályos törvény szerint csak akkor számíthattál komolyabb szankcióra a személyes adatokkal kapcsolatban, ha valakit tényleges jogsérelem ért amiatt, hogy nem tartottad be a törvény előírásait. Ez az új törvény hatályba lépésétől, vagyis január 1-től megváltozik: egy hatósági ellenőrzés eredményeként akkor is megbírságolhatják a cégedet, ha ténylegesen senkit nem ért jogsérelem, „csak” nem valósítottad meg a tételesen előírt biztonsági funkciókat.
Melyek ezek az új, kötelezően előírt minimális biztonsági funkciók? Íme:
A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
Ezek az előírások az előbb már említett általánosan megfogalmazott biztonsági követelmények tényleges megvalósításának módját határozzák meg. Az is elmondható, hogy ezek az előírások jobbára semmi olyat nem tartalmaznak, amit amúgy az általánosan megfogalmazott biztonsági követelmények teljesítéséhez ne kellene megtenni.
Mivel jellemzően nem saját kezedben van az automatizált online marketing rendszer technikai üzemeltetése, ezért ezen feltételek teljesítésével közvetlenül nem neked kell törődnöd – de ettől még az első lépésben a te céged (mint adatkezelő) lesz felelősségre vonva, ha valamelyikkel probléma van.
Fontos tehát, hogy ezekre az előírásokra hívd fel az online marketing és CRM-rendszeredet, webshopodat üzemeltető szolgáltató figyelmét. Mivel nekik vannak ehhez informatikai szakembereik, ezért már elég jól értelmezni tudják a fenti követelményeket. Ha igazi profik, akkor ezek jó részét már amúgy is megvalósították.
Még egy utolsó tipp ebben a témában: csábító lehetne akár úgy megkerülni ezeknek a pontoknak a teljesítését, hogy valami egyszerű, ósdi, XX. századi megoldást vetsz be. Ez már csak azért sem ajánlatos, mert az új törvény azt is kimondja, hogy a technika állása szerinti legjobb megoldást kell alkalmazni, kivéve, ha ez aránytalan nehézséget jelente. Vagyis van egy elég magasan meghúzott gondossági követelmény is a végrehajtásra vonatkozóan, ezt is figyelembe kell venni.
A sorozat következő részében (holnap) arról lesz szó, hogy kell-e a cookie-kat külön engedélyezni? Amennyiben eddig még nem tetted meg, akkor iratkozz fel a blogértesítőre (az oldal tetején), nehogy lemaradj a cikkről!
Róth Dénes
Vélemény?
RSS hírcsatorna a bejegyzéshez kapcsolódó hozzászólásokról. TrackBack URL
Hozzászólás most!