Gondot okozhat a GDPR a vállalkozásoknál

Egy átlagos magyar vállalkozásnál pár hét alatt akár százezer alkalommal is megnyithatnak, módosíthatnak, másolhatnak, kezelhetnek „GDPR-érzékeny” fájlokat, amit követni hagyományos eszközökkel lényegében lehetetlen feladat. Nem véletlen, hogy a hazai IT szakemberek közel fele szerint a következő egy év legnagyobb szakmai kihívása a GDPR előírásoknak megfelelő adatvédelem biztosítása – derül ki a Panda Security felméréséből.

Már egy átlagos magyar kis- és középvállalkozás (kkv) informatikai környezetében is mellbevágó mennyiségben akadnak olyan műveletek, amelyek a GDPR előírások által érzékenynek tartott adatokat érintenek. Az IT biztonság több területén is védelmet nyújtó Panda Security mintaként két egymástól eltérő feladatkörű és tevékenységet végző szervezet informatikai hálózatának féléves tevékenységét monitorozta adatvédelmi szempontok alapján.

Egy informatikai profilú vállalkozás 25 gépből álló rendszerében, 2019. július és 2020. január közepe között több mint 270 ezer „GDPR-érzékeny”, vagyis személyes adatokat tartalmazó, fájlműveletet hajtottak végre. A kiválasztott egészségügyi intézménynél egy 80 gépből felépülő rendszerben jóval alacsonyabb volt ugyan az aktivitás, ám az adatbiztonsági szempontok szerint említendő lépések száma itt is megközelítette a 63,5 ezret. A legnagyobb arányban mindkét szervezetnél dokumentumok megnyitására volt példa, ám bőven végeztek tartalommódosítást, adattörlést, átnevezést és persze másolást is. A vizsgált időszak alatt a vállalkozásnál több mint 1500, míg a kórházban csaknem 3000 új fájl keletkezett.

Egy átlagos hazai társaság hálózatában éves szinten prognosztizálható több százezres adatérzékeny fájlművelet is arra utal, hogy már egy közepes, de akár egy kisvállalkozásnál is roppant kényes feladat a GDPR előírásoknak való teljes körű megfelelés. A szóban forgó műveletek gyakorisága és mennyisége ugyanis hetek alatt könnyedén olyan mértékűre duzzadhat, amit erre fejlesztett informatikai eszközök segítsége nélkül szinte lehetetlen nyomon követni.

„Az unió általános adatvédelmi rendelete lassan két éve hatályos, ezek az adatok viszont arra utalnak; hiába a bevezetés óta eltelt idő és a társaságoknál ezzel kapcsolatban azóta felhalmozott tapasztalat, hatékony informatikai megoldások nélkül a szabályozásnak való megfelelés embert próbáló feladat. Sokat kockáztatnak, akik ezen a területen nem eléggé tájékozottak, vagy szeretnének spórolni a költségeken. Ilyen nagyságrendű, adatvédelmi szempontból érzékeny művelet mellett megfelelő kontroll nélkül bármikor történhet nem kívánt incidens, ami akár komoly bírsággal is járhat. A büntetés maximális mértéke ugyanis az éves globális árbevétel 4 százaléka is lehet. Még a büntetésnél is nagyobb kockázat, s jelentősebb kárt okozhat az imázsvesztés, hiszen szinte minden iparágban az ügyféladat a legnagyobb érték. Ez egy kisvállalkozásnak különösen fájhat, sőt, akár a fennmaradását is veszélyeztetheti” – mondta Gölcz Dénes, a Panda Security hazai ügyvezető igazgatója.

Ennek tükrében nem meglepő az adatvédelmi cég tavaly ősszel 260 magyarországi kis- és nagyvállalat informatikai szakembere körében végzett felmérésének eredménye: a válaszadók szerint ugyanis az IT biztonság területén a GDPR előírásoknak megfelelő adatvédelem biztosítása a következő 12 hónap legnagyobb feladata. A megkérdezettek 43 százaléka pedig azt is megjegyezte, hogy 2020 során olyan technológiai eszközt szereznek be, amely támogatja a GDPR előírásoknak való megfelelést. Az unió általános adatvédelmi rendeletének kiemelt szerepét mutatja a cégeknél, hogy az ügyféladatok, a szerződéses számlák és a pénzügyi adatok mellett az email címek védelmét is a legkritikusabb informatikai adatvédelmi feladatok között tartják számon.