A személyes adatok óriási értéke a bennük rejlő üzleti potenciálból és az adatok rosszindulatú kihasználásának lehetőségéből erednek. Mindkét terület védelmet igényel, megadva azt a jogot az érintettnek, hogy a személyes adataival rendelkezzen, azokat rajta kívül mindazok is védjék, akik ezekkel az információkkal dolgoznak, valamilyen szolgáltatást nyújtanak.
Az adatvédelmi incidenseket okozó fenyegetések köre és súlyossága is rohamosan nő. Ma már számtalan módszer és vírus létezik a weben, amely képes még a legvédettebb rendszeren is áthatolni és jelentős problémákat okozni egy-egy szervezeten belül.
Lehet, hogy meglepő, de tény: a legnagyobb biztonsági kockázatot még manapság is „házon belül” kell keresni.
Az adatvédelmi incidensek túlnyomó többségét ugyanis az emberi figyelmetlenség, a rosszindulatú cselekedet vagy mulasztások okozza, melyekért gyakran a munkavállalókat terheli a felelősség.
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (a GDPR 4. cikk 12. pont alapján). Egy adatvédelmi incidensnek nem szükségszerű része az, hogy abból az érintett személyeknek kára származik és még az sem, hogy maga az esemény széles kört, jelentős számú személyt érintsen. Éppen ezért elengedhetetlen, hogy valamennyi vállalkozás, gazdasági társaság és egyéb más szervezet is készüljön fel ezek észlelésére, és legyen egy kidolgozott intézkedési terve arra az esetre, ha mindez bekövetkezik. Ahhoz, hogy ezt – minden adatkezelési elemet figyelembe véve – az adatkezelő számba vegyen, szükséges egy részletekbe menő audit, majd a lehetséges incidensek megelőzésére kidolgozott terv, valamint ezt támogató technikai felkészültség. Mindez egy szabályozásként összefoglalva, az érintett munkavállalókkal közölve (képezve őket) és egy protokoll arra az esetre, ha bekövetkezik az, aminek az elkerüléséért az egész kialakításra került: tehát az adatvédelmi incidens kezelését szolgáló protokoll.
A személyes adatok köré vont védelmi rendszer kialakítása és működtetése az adatkezelő feladata és felelőssége. Ebben a GDPR nagyon széles mozgásteret biztosít az adatkezelőnek, semmilyen konkrét intézkedést nem fogalmaz meg. Nem mondja meg, milyen fizikai védelmet kell alkalmazni a papír alapú adatok védelme érdekében, ahogy azt sem, milyen szoftveres védelmet, technológiai folyamatot vagy éppen szervezeti intézkedéseket kell kialakítani egy -egy adatkezelőnél. Nincs konkrét megfelelési szint ágazattól vagy a szervezet mértéből eredeztetve.
Pedig ezek igen fontos kiindulást adnak a szabályrendszer kidolgozásához. Könnyen elfogadható álláspont, hogy jelentősen más kell egy kórházi adatbázis, egy bank vagy egy webshop adatvédelmének kialakításához. Mindhárom más kockázati szintet jelent, más adatmennyiséget és más adat-érzékenységet.
Természetesen ismert a recept, mellyel ez a kockázat házon belül jelentősen csökkenthető: a megoldás első lépése az adatvédelmi oktatás, az egyén felelősségének hangsúlyozása. A másik a kontroll: annak az ellenőrzése, hogy adott munkavállaló a saját munkájához kapcsolódóan mennyire tartja be a képzés által megismert adatkezelési szabályokat.