Pedig ezek a vállalatok még eminensnek számítanak azokhoz képest, akik még csak most ébredeznek, hogy valamit tenniük kellene a megfelelőség érdekében. Azok a cégek sem fognak jobban járni, akik azt hiszik, hogy az egyszeri májusi engedélykéréssel letudták a tennivalókat, hiszen a GDPR előírásainak mostantól folyamatosan meg kell felelni.
Persze igazságtalanok lennénk, ha csak a későn ébredőket hibáztatnánk, hiszen a rendelkezés gyakorlati alkalmazásával kapcsolatban számos kérdés nem volt teljesen egyértelmű. Az például teljes mértékben érthető, hogy magánemberként tudni szeretnénk, mi történik a megadott személyes adatainkkal.
A kisvállalkozók számára azonban több mint bosszantó, ha az adatkezelés miatt olyan színvonalú informatikai megoldást kellene megvalósítaniuk, mint amit a piac nagy, globális szereplőitől jogos elvárni. Nem véletlen, hogy végül több országban, így például Ausztriában és Magyarországon is az a döntés született, hogy a kisebb vállalkozások a rettegett május 25-ig határidő után is elsőre csak figyelmeztetést fognak kapni, ha nem felelnek meg a GDPR követelményeinek.
A GDPR nem pusztán informatikai kérdés
A GDPR elsősorban az adatkezelési folyamatok egyértelmű és átlátható rögzítéséről szól. Ezért egy mikrovállalkozás továbbra is dolgozhat egy Excel-táblában rögzített adatokkal, ha egyébként a folyamatai megfelelnek a rendelkezésnek: például az adott személyek számára világos, hogy kik, milyen célból és hogyan kezelik az adataikat, ők ehhez belegyezésüket adták, és tisztában vannak vele, hogyan tudják az adatokat módosít(tat)ni, illetve töröl(tet)ni. A legtöbb esetben ehhez elegendő a megfelelő engedélykérés és a folyamatok szöveges leírása.
Egy adott cégméret, illetve adatmennyiség felett azonban ezeket a folyamatokat már célszerű egy számítógépes rendszerre bízni. Ha valaki informatikai vezetőnek készül, biztos lehet benne, hogy a GDPR a munkája része lesz, ezért erre célszerű időben felkészülnie.
Van, ahol már a tananyag része
A Budapesti Metropolitan Egyetem két féléves posztgraduális képzésén többek között a GDPR is terítékre kerül. Az Executive MBA for IT kurzus szakvezetője, Tarján Gábor szerint fontos, hogy a leendő IT vezetők ismerjék a jogszabályi környezetet, melyben tevékenységüket tanúsítani kell például auditorok felé, ezért a képzés több mint 10 tantárgyában a GDPR-ral kapcsolatos ismereteknek is helyet szorítottak, hiszen ez ma már az információbiztonság alapvető része.
Az intenzív szakirányú továbbképzésre mérnökként vagy közgazdászként, alap vagy mesterszakos diplomával lehet jelentkezni. Olyan szakembereket képeznek, akik informatikusokat tudnak vezetni: megértik és jól kezelik azokat, akik igazi szakértői a területnek. A kurzusra olyanoknak ajánlott jelentkezni, akik már rendelkeznek 3-5 évnyi munkahelyi tapasztalattal, és részt vesznek kisebb-nagyobb csoportok irányításában, elsősorban infrastruktúra üzemeltetési vagy szoftverfejlesztési területen. Fontos, hogy a hallgatóknak legyen már egyfajta gyakorlati tapasztalata, mert enélkül egyes gyakorlatokban nem tudnak részt venni.
Nem csak a cégeknek lehet fontos
Tarján Gábor úgy látja, hogy bár a felkészülési határidő már lejárt, az intézményeknek is van még mit pótolniuk a GDPR terén. Ilyenek például az egyetemek, melyek működésükből adódóan nagy mennyiségű személyes adatot kezelnek: a jelentkezőktől kezdve a hallgatókon át az öregdiákokig. A szakvezető több intézmény életébe belelát, és azt tapasztalja, hogy sokan még csak most gondolkodnak a tennivalókon.
Ugyanakkor a szakvezető is úgy látja, hogy a május 25-i határidő előtt nem volt könnyű begyűjteni a hiteles és gyakorlati információkat. A tájékozódást több szervezet is igyekezett segíteni, ilyen volt például a Hétpecsét Információbiztonsági Egyesület, melyben Tarján Gábor alelnökként tevékenykedik. Az egyesület tagjai egy GDPR antológiát állítottak össze, amelyben egy helyen elérhetővé tették a magyar szakirodalom 20-25 legrelevánsabbnak és legfontosabbnak ítélt cikkét. (x)
