GDPR kapcsán számtalan feladat tornyosul a szervezetek előtt. Nem szabad elfeledni a kockázatokkal arányos védekezés elvét, még akkor sem, ha esetleg kicsit át kell azt értelmezni. Számos mennyiségi feladat között szerepel a jelentési kötelezettségek köre, abból is talán a legtöbbet idézett a bevezető szakasz 85. bekezdésének egyes részletei, a 72 órás bejelentéssel kapcsolatban.

85) Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

A pontos megfogalmazás a 33. cikkben található

33. cikk • Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak 

(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. 

(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. 

(3) Az (1) bekezdésben említett bejelentésben legalább: 

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; 

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; 

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; 

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. 

(4) Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

Rohanjunk vásárolni megfelelő eszközt!

Általános elv, hogy tervezett, és ahol lehet automatikus megoldásokat vár el a jogalkotó. A társított költségek és a kevés hátramaradt idő alapján lehet, hogy érdemes végig gondolni a feladatot.

A tudomásunkra jutott eseménnyel kell kezdeni valamit. Itt az alapelv alapján meg kell tenni mindent, hogy ez automatikus legyen, de be kell látnunk, hogy nem lehet minden automatikus. Folyamatos fejlesztésekkel közelíthetünk egy jó megoldás felé. Ezt az arányszámot most nem tudom megérezni, ezt mindenkinek magának kell meghatároznia a lehetőségei és tervei alapján. Egy dolog biztos: 72 órán belül valamit jeleznem kell, vagy sok-sok kellemetlen papírmunkát is mellékelnem kell. Azonban nem kell teljes mértékű információt átadni, azt pótolhatom idővel.

A feladat teljesítéséhez naplókkal kell rendelkeznem az érintett folyamatokhoz és a folyamatokban résztvevő rendszerek tekintetében, valamint nagyon sok kiegészítő technikai kontrollt is mellékelnem kell a folyamatok GDPR-szemléletű védelme érdekében. A naplóelemző és incidenskezelő rendszerem így jelentős bővítésekre, átalakításokra szorul. Megnövekedett naplómennyiség, új feladatok – alkalmazási szintek, újelemek –, valamint az incidenskezelő modulok. Ami megfontolható lehet: van-e akkora kapacitás és fedezet a szervezetben, hogy ezt a projectet is lezárjam határidőre?

Adatszolgáltatási kötelezettség miatt a naplóadatoknak meg kell lenniük, amiből leválogatást kell tudnom készíteni. Valamint lennie kell egy incidenskezelő szintnek, ami lehetőleg automatikusan vagy manuálisan GDPR-jellegű incidenseket kezel és követ. Az azonban nem elvárás, hogy a két rendszer azonos legyen. Meglátásom szerint egy megfelelő naplókezelő (gyűjtő, archiváló) rendszer kialakítása elfogadható kompromisszum lehet, például BalabitSyslog-NG alapokon. A rendszerbe alacsony ráfordítások mellett és gyorsan beköthetem az eddig még nem kezelt naplókat valamint az új rendszerelmek naplóit. A megoldásból teljesíteni tudom a jelentési és az elvárt nyomozati feladatokat. 

A GDPR-ral kapcsolatos projectjeim csökkenése és lefutása után a szabad erőforrásokkal megléphetem az elemzési és incidens-jelző rendszer teljes automatizálására való kiterjesztését, melyhez szintén jó alapokat nyújt egy ilyen, már meglevő és stabil loggyűjtő és incidenskezelő rendszerelemek.