Adatbiztonság a gyakorlatban, a technikán innen és túl

Az adatbiztonság megfelelő szintje kapcsán értelemszerűen általános mércéről nem beszélhetünk, a megfelelő intézkedések körét a tudomány és a technológia állása, a megvalósítás költségei, az adatkezelés jellege, hatóköre és körülményei, valamint a kapcsolódó kockázatok köre, és az adott szervezet sajátosságai határozzák meg. Így eltérő követelmények támaszthatók egy banki szolgáltatóval és egy kiskereskedelmi termékeket forgalmazó webáruházzal, valamint megint más egy alapvetően fogyasztói adatokat és egy jellemzően céges partnerek kapcsolattartói adatait kezelő szervezettel szemben is.

Fogalmunk sincs róla, mire használhatók ellopott adataink

Bár már sokan hallottunk az adat- és/vagy személyazonosság-lopással járó kiber-bűncselekményekről, vagy talán áldozatul is estünk ilyennek, a jelek szerint mégis viszonylag kevesen vagyunk tisztában a tőlünk ellopott információ értékével.

Természetesen azonban beszélhetünk a szervezési és technikai intézkedések egy olyan köréről is, amelyek alkalmazása az adatkezelők (például: a fogyasztók tekintetében a számukra a saját nevében szolgáltatásokat kínáló szervezet vagy a munkavállalók vonatkozásában saját munkáltatójuk) és adatfeldolgozók (például: az adatkezelő szervezet részére IT támogatást nyújtó cég) jelentős részétől elvárható lehet, illetve a megfelelő adatbiztonsági szint kialakításában segítséget nyújthat. Informatikai eszközök és rendszerek alkalmazása esetén például elengedhetetlen az alapvető biztonsági intézkedések alkalmazása (így megfelelő minőségű tűzfal és vírusirtó szoftverek üzemeltetése), a papíralapú adatkezelés tekintetében pedig az adott szervezet sajátosságaira szabott, és az irányadó szabályzat(ok) szerint folytatott iratkezelési gyakorlat, amely elkerülhetővé teszi, hogy személyes adatokat tartalmazó dokumentumok vesszenek el, vagy váljanak hozzáférhetővé illetéktelen személyek számára.

Ésszerű mértékig ugyancsak elvárható az adatkezelőktől az általuk alkalmazott adatbiztonsági intézkedések átláthatóvá tétele. Ennek tipikusan az adatvédelmi tájékoztató ad keretet, azonban egyéb szabályzatokban (például: IT biztonsági vagy jelszókezelési szabályzat) vagy felületeken (például egy adott applikáción belül) is sor kerülhet adatbiztonsági intézkedések részletezésére. Erre tekintettel azonban elengedhetetlen, hogy az érintettek (ideértve adott esetben a fogyasztókat, szerződéses partnerek eljáró kapcsolattartóit, munkavállalókat) megértsék az alkalmazott intézkedéseket és alkalmazásuk pontos célját, valamint azt is, hogy azok hogyan járulnak hozzá a megfelelő adatbiztonsági szint kialakításához. Így a kevéssé közérthető, túlságosan technikai megfogalmazások (például: „ügyfélszegmentáció”) vagy általános szófordulatok (például: „szimulációk elvégzése”) általában kerülendők. Adott esetben azonban akár hasonló szövegezés is elfogadható lehet, például egy bizonyos munkavállalói csoportnak szóló tájékoztató esetén, ha ezen kifejezések számukra az adott munkahelyen vagy a munkakörüknél fogva egyértelmű jelentéssel bírnak.

Egy adatvédelmi bírság, és ami mögötte van

Négy nappal a GDPR-rendelet hatálybalépése után büntetett a NAIH adatkezelési ügyben. A Magyar Kosárlabdázók Országos Szövetségére szabtak ki másfél millió forintos adatvédelmi bírságot a játékos-nyilvántartó rendszerével kapcsolatos jogellenes adatkezelés és tájékoztatás miatt.

Hozzáférési jogok, jelszómenedzsment és egyéb technikai intézkedések

A személyes adatokat tároló rendszerek és fájlok védelme érdekében ugyancsak kifejezetten ajánlott lehet az informatikai rendszerekhez való hozzáférések naplózása, külön felhasználói fiókok alkalmazása, esetleg többszintű hozzáférési jogosultságok bevezetése, amely így lehetővé teheti, hogy kizárólag az érintett adatkört kezelő munkatársak férhessenek hozzá a személyes adatokhoz.

Ugyancsak fontos szempont a rendszerekhez és különböző IT eszközökhöz tartozó jelszavak minimumkövetelményeinek meghatározása, esetleg a jelszón kívül többlet-információk vagy egyéb biztonsági intézkedések megkövetelése (például: kétlépcsős azonosítás) is. A francia adatvédelmi hatóság javaslata szerint, például, amennyiben kizárólag jelszó használatával férhet hozzá a felhasználó az adott rendszerhez vagy eszközhöz, úgy minimum 12 karakter, míg a hozzáférés korlátozása (pl. CAPTCHA alkalmazása) esetén legalább 8 karakter, további információ kérése esetén – a hozzáférés fentiek szerinti korlátozása mellett – pedig legalább 5 karakter hosszúságú jelszó követelendő meg a rendszereket vagy eszközöket használó munkatársaktól. Az angol adatvédelmi hatóság ezzel szemben általában legalább 10 karakter hosszúságú jelszó megkövetelését tartja elégségesnek. Ezen meglátások természetesen akár a magyarországi adatkezelők és adatfeldolgozók számára is vonalvezetést jelenthetnek.

A napi e-mailezés esetén szintén fontos szempont az óvatosság, így kifejezetten ajánlott megoldás lehet titkosított kapcsolat alkalmazása, a fontosabb információk esetén pedig a tömörített, jelszóval védett formátumban való továbbítás is, így garantálva a tartalom biztonságát.

GDPR: semmi változást nem hozott a cégeknél

Május 25-e óta egységes EU-s rendelet szabályozza az uniós tagországok cégeinek adatkezelési szokásait. A rendelet alapvetése az, hogy a személyes adat védendő érték, a törvény betartását pedig még a legkisebb cégeknek is igazolniuk kell, hogy megfelelően kezelik, tárolják és semmisítik meg a náluk lévő adatokat. De vajon a rendelet bevezetése után változtak-e a cégek adatkezelési szokásai? Egy friss, a Fellowes által megrendelt kutatásból kiderült, hogy a kkv-k közel harmada vagy nem hallott a GDPR-ról, vagy nem tudja, hogy az rá is vonatkozik.

Mindemellett a rendszerekben tárolt adatokról – a hozzáférhetőség biztosítása és az adatminőség garantálása céljából – a szükséges körben és időközönként elvárható lehet biztonsági másolatok készítése, valamint a rendszerek folyamatos tesztelése és fejlesztése, a munkavégzéshez használt applikációk, az adatok védelmét szolgáló egyéb programok esetén pedig a legújabb verziók és bővítmények telepítésének megkövetelése. Természetesen a rendszerek fizikai védelme éppolyan fontosságot élvez, mint például a kibertámadások elleni felkészültség. Így javasolt az adatbiztonság szempontjából kiemelkedő helyiségek (például: szerverszoba, irattárak, stb.) rendszeres zártan tartása, szükség szerint további biztonsági megoldásokkal való védelme (például: vagyonvédelmi rendszerek telepítése útján).

A technikán túl – az adatbiztonság emberi oldala

Természetesen a technikai hiányosságokon túl minden szervezet emberi oldala is komoly biztonsági kockázatot jelenthet, amennyiben a munkavállalók nem ismerik ki magukat az adott szervezet adatkezelési gyakorlatában, valamint, ha nem rendelkeznek kellő ismeretekkel az adatbiztonsági intézkedéseket illetően. Ezért is elengedhetetlen, hogy a munkavállalók már a munkaviszony kezdetén kellő felkészítést kapjanak, és tisztában legyenek azzal is, hogy felmerülő adatvédelmi és adatbiztonsági témájú kérdéseikkel kihez fordulhassanak.

A megfelelő felkészítés formájára és módszereire nincs kötelező előírás, ezt mindig az adatkezelési műveletek sajátosságai, valamint az adatkezelői szervezet gyakorlata határozzák meg. Megfelelő lehet például az írásbeli felkészítő anyag mellett szóbeli tréning tartása, de különböző e-learning anyagok elkészítése, ellenőrző kérdéssor összeállítása is. Fontos azonban, hogy az irányadó szabályok mechanikus megkövetelésén túl az adatkezelő vagy az adatfeldolgozó a gyakorlatban is ellenőrizze, hogy az adatkezelésben ténylegesen közreműködő munkavállalói valóban elsajátították-e a szükséges ismereteket, a körülmények megváltozása esetén (például: új technológia bevezetése, új adatkezelési műveletek folytatása, az adott munkatárs új munkakörbe helyezése) vagy igény szerint pedig újabb oktatást szervezzen az adatkezelésben résztvevő személyzet részére. Azon szervezetek esetén pedig, ahol adatvédelmi tisztviselő is kijelölésre került, érdemes az adatvédelmi tisztviselőt is bevonni az oktatóanyagok összeállításába, valamint a belső felkészítés megszervezésébe.

Mindemellett ugyancsak erősen javasolt már a kezdetektől követhető és a munkavállalók számára jól érthető szabályozási kultúrát kialakítani. Gyakori hibának számít például nehezen áttekinthető vagy az adatvédelmi szabályokat csak elnagyoltan kezelő belső szabályzatok közzététele, melyek sokszor nincsenek is összhangban egymással, vagy a helyi viszonyokat figyelmen kívül hagyva pusztán a külföldi anyacég központi szabályzatainak leképezései. Az effajta megoldások helyett célszerű felhasználóbarát nyelvezettel megírt szabályzatokat készíteni, amelyek mind az elektronikus rendszerek alkalmazását, mind a papíralapú adatkezelési műveleteket és a napi adatkezelési gyakorlatot is átfogják, és kellő hangsúlyt helyeznek az adatok biztonságos kezelésére. E körben – különösen az IT eszközök magáncélú használatának vagy a munkavállalók saját eszközei üzleti célú használatának engedélyezése esetén – célszerű minél inkább elkerülni az üzleti adatok és a munkavállalók magáncélú adatainak keveredését, kiemelt hangsúlyt helyezve az adattárolási szabályok pontos megfogalmazására, valamint az ellenőrzés lépéseinek fokozatos felépítésére.

Üzleti titkok a lakásban

Nemcsak a munkahelyen, vagy az irodában, hanem otthon is érvényesíteni kell a cégre vagy partnereire vonatkozó információk biztonságát garantáló szabályokat és belső standartokat – hívta fel a figyelmet minőségbiztosítási szakértőnk, Kohl Zsuzsanna.

Külső szolgáltatók igénybevétele

Az adatbiztonság esetében ugyancsak komoly kockázati tényezőt jelenthet egy-egy felelőtlen szerződéses partner, aki nem megfelelően kezeli a részére továbbított vagy hozzáférhetővé tett adatokat. Az ebből származó következmények pedig súlyos károk és az adatkezelőt érő reputációs veszteség tárházai lehetnek. Még a szerződéses kapcsolat létrejötte előtt tisztázandó, hogy az adott szerződéses partner adatkezelőként vagy adatfeldolgozóként fog-e eljárni – attól függően, hogy az adatkezelés célját és eszközeit ténylegesen meghatározza-e vagy csupán az adatkezelő szerződéses partner nevében, utasításai szerint folytatna adatkezelést –, ez szabja meg ugyanis, hogy a feleknek milyen kötelezettségeik is lesznek majd az adatkezeléssel kapcsolatban, illetve, hogy hogyan alakul majd a felelősségük, és hogy milyen körben is kell majd tájékoztatniuk az érintetteket.

Ugyancsak ajánlott még a szerződéskötés előtt, az esettől függően (például: határozatlan vagy hosszabb határozott idejű szerződéses kapcsolat esetén) pedig a szerződéses kapcsolat alatt is ellenőrizni a partner által alkalmazott adatbiztonsági intézkedéseket. Erre jó megoldás lehet egy kérdőív összeállítása az alkalmazott intézkedések köréről, kifejezetten ajánlott továbbá a szerződésben részletes ellenőrzési és együttműködési kötelezettségek és jogok rögzítése, valamint egy esetleges adatvédelmi vagy egyéb incidens esetén a felek által megteendő lépések pontos felvázolása.

Nincs feltörhetetlen titkosítás, de érdemes védeni a céges levelezést

Nincs tökéletes védelem, ha valaki nagyon belemélyed, szinte bármelyik rendszerben talál gyenge pontokat – írja a Bitport. Igaz ez a titkosítási megoldásokra is. Ez azonban nem érv a titkosítás használata ellen, hiszen már az is elrettentő lehet, ha egy információhoz csak túlságosan nagy erőfeszítés árán lehet hozzáférni. Ha valaki fél, hogy lehallgatják a levelezését, érdemes valamilyen titkosító eszközt használnia.

A megfelelő incidensmenedzsment

Az adatkezelőkkel szemben alapvető elvárás az adatvédelmi incidensek megfelelő kezelése, szükség esetén az adatvédelmi hatóság, valamint az érintettek tájékoztatása. Adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidenst az adatkezelőnek késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az illetékes adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve (például: titkosított USB kulcs ellopása, ahol az adatokhoz nem férhetnek hozzá illetéktelenek). Ha pedig az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (például: ügyféladatok nagy számban történő kiszivárgása és nyilvánosságra hozatala), úgy az adatkezelő – a GDPR szerinti kivételek hiányában – indokolatlan késedelem nélkül köteles tájékoztatni az érintettet az adatvédelmi incidensről. Ilyen kivételnek minősül a megfelelő technikai és szervezési védelmi intézkedések végrehajtása, különösen ideértve az adatokat jogosulatlan személyek számára értelmezhetetlenné tevő intézkedéseket (például: titkosítás), továbbá ugyancsak kivételnek tekintendő az olyan további intézkedések meghozatala is, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg (például: az adatszivárgásért felelős személy azonnali azonosítása, és az adatok elérhetetlenné tétele), valamint, amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé (például: az érintettek kapcsolattartási adatai nem állnak rendelkezésre). Ez utóbbi esetben azonban az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását (ilyen lehet például egy nyilvános sajtóközlemény).

Mint az a fenti szabályokból is jól látszik, az adatkezelőnek egy esetleges adatvédelmi incidens esetén minél gyorsabban és hatékonyabban kell fellépnie, amely a megfelelő felkészültség és belső szabályozás hiányában lehetetlen. Így elengedhetetlen, hogy az adatkezelő már előre belső szabályzatban rendezze, hogy a munkatársak által észlelt adatvédelmi incidenseket hogyan, és pontosan mely személynek vagy csoportnak, milyen formában kell jelentenie, az adatvédelmi incidens kezeléséhez milyen munkatársak együttműködése szükséges, az adatvédelmi incidens által érintett adatkezelő vagy adatfeldolgozó partnerekkel való kommunikáció hogyan is történjen, és milyen esetleges belső határidők lehetnek irányadók. Az adatvédelmi incidensek kezelésében különösen fontos szerepe van a szervezeten belüli IT és jogi szakértőknek, az adatvédelmi tisztviselőnek – amennyiben kijelölésre került –, valamint adott esetben további szakértőknek és munkatársaknak is (pl. PR szakértő vagy a HR csoport illetékes munkatársai).

Nem közölhető újra egy nyilvános Facebook-fotó sem

Az Európai Unió Bírósága kimondta, hogy a szerző engedélyével online hozzáférhetővé tett fotó nem használható fel a szerző újabb engedélye nélkül egy másik honlapon, azonban kiskaput jelenthet ez alól a kattintható hiperlinkek használata.

Nem szabad elfelejtenünk ugyanakkor, hogy bizonyos szolgáltatók esetén eltérő incidenskezelési szabályok is érvényesülhetnek. Így például a bejelentés-köteles szolgáltatást nyújtónak minősülő szervezetek (ideértve: az online piacteret, keresőszolgáltatást vagy a felhőszolgáltatást nyújtókat) kötelesek bejelenteni a – hálózati és információs rendszereikre ténylegesen kedvezőtlen hatást gyakorló – biztonsági eseményeket, amelyek jelentős hatást gyakorolnak az általuk az Európai Unión belül kínált bejelentés-köteles szolgáltatás nyújtására. Az efféle biztonsági események értelemszerűen nem minden esetben esnek egybe az adatvédelmi incidensekkel, ám előfordulhat, hogy a bejelentés-köteles szolgáltatást nyújtó adatkezelőnek ugyanazon incidenst adatvédelmi incidensként és külön jelentős biztonsági eseményként is kezelnie kell, és eszerint kell teljesítenie a vonatkozó bejelentési kötelezettségeit.

Záró gondolatok

A fentebb írtakból tehát jól látható, hogy mind az adatkezelőnek, mind az adatfeldolgozónak minősülő szervezeteknek igen árnyalt és sokoldalú követelményeknek kell megfelelnie az adatbiztonság megfelelő szintjének garantálása kapcsán, és kellő óvatossággal, az adatkezelés jellegének és sajátosságainak, valamint a kapcsolódó kockázatok körének alapos mérlegelésével kell meghatározniuk az alkalmazandó adatbiztonsági intézkedéseket. Mindemellett nem hagyható figyelmen kívül a szerződéses partnerek figyelmes megválasztása, és az adatvédelmi incidensekre való alapos felkészülés sem. Ezek hiányában ugyanis valamennyi szervezet csak félkarú óriás lehet, míg a kellő garanciák megléte csak tovább erősíti az adott szervezet hitelességét. Ennek tükrében pedig az adatbiztonságra egy újabb jogi teher helyett már sokkal inkább egy hasznot hajtó, vonzó befektetésként tekinthetünk.

Szerző:

Dr. Necz Dániel LL.M.

adatvédelmi szakértő

Ormai és Társai CMS Cameron Mckenna Nabarro Olswang LLP Ügyvédi Iroda

Frontális: a magyar egészségügy és a GDPR találkozása

A betegségre, egészségi állapotra, az egészségügyi vizsgálatok eredményeire, a gyógykezelésre vonatkozó adatok, vagyis összefoglalóan az egészségügyi adatok különösen szenzitív adatok, azoknak illetéktelen kezekbe kerülése rendkívül sérelmes lehet az érintettre, a betegre nézve, elég, ha csak Trunkó Barnabás gyógyszertárban játszódó ismert kabaréjelenetére gondolunk. Ugyanakkor elengedhetetlenül fontos, hogy a kezelőorvos a megfelelő adatok és információk birtokában, adott esetben a beteg kórelőzményeinek és a beteg által szedett egyéb gyógyszerek ismeretében hozzon döntést a szükséges gyógykezelésről. Felmerül az a kérdés is, hogy az eszméletlen, vagy más okból magatehetetlen beteg hogyan járulhat hozzá a személyes adatainak – gyógyítás céljából történő – kezeléséhez? Az act legal |Bán és Karika Ügyvédi Társulás szakértőjét kérdeztük.