Mini csomag: Adatvédelem és adatvédelem (privacy) – KKV

A „Mini csomag: Adatvédelem és adatvédelem (privacy) – KKV” hat, szorosan integrált szabályzatból álló átfogó csomag, amelyet kis- és középvállalkozások számára terveztek a kritikus adatvédelem, privacy és megfelelés követelmények teljesítésére. A csomag valamennyi szabályzata kifejezetten KKV-kra van szabva (amit a „S” jelölésű szabályzatszámozás és az ügyvezető mint elsődleges elszámoltathatósági szerepkör használata is jelez), figyelembe véve a korlátozott erőforrásokat, illetve a nagy, dedikált IT-, biztonsági vagy megfelelési szervezeti egységek hiányát. E strukturális korlátok ellenére a szabályzatok úgy készültek, hogy megfeleljenek az ISO/IEC 27001:2022, az ISO/IEC 27002:2022, az EU GDPR, az EU NIS2 irányelv, az EU DORA rendelet, a NIST SP 800-53 Rev.5 és a COBIT 2019 szigorú követelményeinek. A csomag a teljes információ-életciklus végponttól végpontig tartó lefedettségét biztosítja. Az adatosztályozási és címkézési szabályzat (P13S) KKV-k számára megfelelő, kikényszeríthető, háromszintű osztályozási modellt határoz meg, beleértve a címkézési követelményeket és a technikai kontrollokat. Egyértelmű szerepköröket ad az ügyvezető, az adatgazdák, az IT-támogatás (belső/kiszervezett), valamint a munkavállalók és vállalkozók számára, hangsúlyozva a gyakorlati láthatóságot (fejlécek, vízjelek, címkék) és a megfelelési kötelezettségeket. Ehhez szorosan kapcsolódva az adatmegőrzési és selejtezési szabályzat (P14S) jogi és üzleti alapú megőrzési időszakokat ír elő egy központilag kezelt megőrzési nyilvántartással, kifejezett biztonságos selejtezési technikákkal (iratmegsemmisítés, digitális törlés, kriptográfiai törlés), valamint a kivételek és a jogi zárolás szigorú dokumentálásával; mindezt úgy, hogy a szabályzat felügyelete kis szervezetekben is megvalósítható legyen. Az adattakarékosság és az éles környezeten kívüli feldolgozás érdekében az adatmaszkolási és pszeudonimizálási szabályzat (P16S) előírja, hogy valós személyes vagy érzékeny adatot soha nem szabad használni, ha az nem szigorúan szükséges (például tesztelés vagy elemzési felhasználás során), átalakítási kontrollok (maszkolás, tokenizáció, pszeudonimizálás) kikényszerítésével. Minden átalakítási folyamatnak auditálhatónak kell lennie, kizárólag IT által jóváhagyott eszközök használatával, naplókkal és kulcskezeléssel, biztosítva a nyomon követhetőséget egészen az egyes adatkészletekig és eseményekig. A csomag központi elemeként az adatvédelmi és privacy szabályzat (P17S) rögzíti a személyes adatokra vonatkozó valamennyi jogi kötelezettséget, beleértve a munkavállalói, ügyfél- és harmadik fél nyilvántartásokat. Kikényszeríti a beépített biztonság elvét, a jogszerű információkezelést és az adattakarékosságot, a biztonságos adatmegőrzést, az egyértelmű hozzáférés-felülvizsgálatot, valamint az érintetti jogok kezelését. A felelősségek egyértelműen megoszlanak az ügyvezető (mint DPO/privacy elszámoltatható), a privacy koordinátor (belső/kiszervezett), az IT-szolgáltató és valamennyi operatív munkatárs között. A képzés, a hozzájárulás, az eszkaláció és a bejelentésköteles incidensek bejelentése integrált, továbbá a kapcsolódó osztályozási, adatmegőrzési, maszkolási és incidenskezelési szabályzatokkal való összehangolás ellenőrzése is. A külső kockázatok kezelésére a harmadik fél és beszállítói biztonsági szabályzat (P26S) kötelező követelményeket határoz meg a beszállítói átvilágítás, kockázatelemzés, hozzáférés-korlátozás, szerződéses kikötések (beleértve a bejelentési SLA-kat és az auditálási jogot), valamint a folyamatos felügyelet területén. Lefedi a tipikus KKV harmadik fél forgatókönyveket (IT, SaaS, üzleti működés stb.), előírva a szerződéses feltételek elfogadását, a rendszeres felülvizsgálatokat, valamint a biztonságos kiléptetést vagy az adatok megsemmisítését a megszüntetést követően. Végül az audit és folyamatos megfelelés-monitorozási szabályzat (P33S) egyszerűsíti a belső auditok, a biztonsági kontroll-ellenőrzések és a szabályozási felülvizsgálat folyamatát. Szakértő auditorok nélkül is használható; felhatalmazza az ügyvezetőt és az IT-szolgáltatót ellenőrzőlisták alkalmazására és auditbizonyíték-naplók vezetésére, hogy biztosítsák az operatív felkészültséget az ISO/IEC 27001 tanúsításra vagy az ügyfél-/beszállítói átvilágítás támogatására. Az ellenőrzési nyomvonalak, a helyesbítő intézkedések dokumentációja és a megfelelőségi bizonyítékok központosítása és legalább két évig történő elérhetősége kötelező, támogatva a védhető irányítást még minimális megfelelési erőforrások mellett is. E mini csomag együttesen a vezető szabványokat és adatvédelmi jogszabályokat végrehajtható, üzletileg gyakorlatias kontrollokká alakítja, robusztus, auditkész adatvédelem és privacy rendszert biztosítva, amelyet a KKV-k könnyen bevezethetnek és fenntarthatnak.