Személyes adatokat általában a magánszemély ügyfelekről (vagy érdeklődőkről) és a munkavállalókról kezel egy vállalkozás, tipikusan valamilyen IT-rendszerben. Az ezekre vonatkozó biztonsági elvárások eddig is szerepeltek az adatvédelmi törvényben. Ezek korábban csak általános követelményeket tartalmaztak: ne jusson illetéktelenek kezébe, ne lehessen illetéktelenül módosítani, legyen védve mindenféle külső veszélytől (üzemzavar, vírus, hacker stb.).
Ez az általános szabály tavaly óta kiegészült egy tételes felsorolással. A kötelezően előírt biztonsági funkciók: (Infotv. 7. § (5) bekezdés):
„A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja:
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.”
Mire érdemes figyelni a gyakorlatban?
A kkv-k nagy része különböző szolgáltatókkal áll szerződésben (CRM, e-mail marketing, bérszámfejtés stb.), ebben az esetben ezeket a követelményeket a szállítókkal is tisztázni kell. Fontos, hogy a személyes adatok kezelésére is az objektív felelősség vonatkozik, tehát önmagában a külsős cég hibája nem elég kimentési alap egy esetleges kártérítési perben.
Akár a cég saját IT-részlege üzemelteti a személyes adatokat kezelő rendszereket, akár külső üzemeltetésben vannak, mindenképpen lényeges szempont az is, hogy a törvény szerint a szükséges biztonsági intézkedéseknél „tekintettel kell lenni a technika mindenkori fejlettségére”, továbbá „több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek”.
Ez az előírás jelentősen szűkíti a követelmények teljesítésének lehetséges módjait egy adott cég esetében. Nyilvánvalóan nem elvárás egy mikrovállalkozás esetén nagyvállalati IT-biztonsági eszközök és megoldások alkalmazása, de a cégméret önmagában nem kibúvó, ahogyan a nehéz gazdasági környezet sem az.
A személyes adatok biztonsága nem tűr félmegoldásokat.
Róth Dénes www.onlinejog.hu
