Minden vállalat, szervezet működésében kiemelt jelentőségű a folyamataik által kezelt, feldolgozott, tárolt adatok biztonsága, azaz bizalmassága, sértetlensége és rendelkezésre állása. Ezek biztosításával alapvetően az információbiztonsági szakma foglalkozik. Minden vállalat számára az általuk kezelt adatok egy része - tartalmuknál fogva - természetes személyekre vonatkozik, azaz "személyes adat". A személyes adatok kezelésének viszont nemcsak általánosságban kell tudni a biztonságát garantálni, hanem annak meg kell felelnie a vonatkozó jogszabályok konkrét követelményeinek is.
A személyes adatok kezelését Európában egységesen az Európai Parlament és Tanács 2016/679. számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, azaz röviden az Általános Adatvédelmi Rendelet (a GDPR - General Data Protection Regulation) határozza meg. A személyes adatok kezelését továbbá Magyarországon még a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (röviden az infotörvény) szabályozza, amelyet a 2018. július 26-i módosítással a GDPR követelményeihez igazítottak.
A személyes adatok GDPR általi elvárásoknak megfelelő működésének és szabályozásának kialakítása komoly feladat a vállalatok számára. Hiszen nem elég egy szabályzatot gyártani, hanem a vállalat teljes működésének olyannak kell lennie, hogy ott a személyes adatok kezelése minden esetben igazolhatóan a követelményeket betartja. Ez tulajdonképpen a GDPR-nak az ún. "számonkérhetőség" elve. A személyes adatok kezelésére vonatkozó követelmények csoportosíthatók aszerint, hogy:
A személyes adatok kezelését Európában egységesen az Európai Parlament és Tanács 2016/679. számú, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló rendelete, azaz röviden az Általános Adatvédelmi Rendelet (a GDPR - General Data Protection Regulation) határozza meg. A személyes adatok kezelését továbbá Magyarországon még a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (röviden az infotörvény) szabályozza, amelyet a 2018. július 26-i módosítással a GDPR követelményeihez igazítottak.
A személyes adatok GDPR általi elvárásoknak megfelelő működésének és szabályozásának kialakítása komoly feladat a vállalatok számára. Hiszen nem elég egy szabályzatot gyártani, hanem a vállalat teljes működésének olyannak kell lennie, hogy ott a személyes adatok kezelése minden esetben igazolhatóan a követelményeket betartja. Ez tulajdonképpen a GDPR-nak az ún. "számonkérhetőség" elve. A személyes adatok kezelésére vonatkozó követelmények csoportosíthatók aszerint, hogy:
- az alkalmazott adatkezelések feleljenek meg a meghatározott jogi követelményeknek (mikor és milyen feltételekkel kezelhetők egyáltalán a személyes adatok);
- a kezelt személyes adatok megfelelő adatbiztonsága garantált legyen;
- az érintett természetes személyek (akiknek az adatait a vállalat kezeli), az adataik kezeléséről és az ezzel kapcsolatos jogaikról (igazolhatóan) tájékoztatottak legyenek;
- valamint mindezt folyamatosan és elszámoltathatóan kell tudni minden érintett területen biztosítani!