A GDPR SZABÁLYOZÁS ÁLTALÁNOS ELEMEI, HATÁRIDŐK

  1. május 25-én életbe lépett az új európai adatvédelmi szabályozás (GDPR – General Data Protection Regulation = Általános Adatvédelmi Rendelet. Pontos megnevezése: AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

Magyarul itt található: http://www.adatvedelmirendelet.hu/wp-content/uploads/2016/07/CELEX3A32016R06793AHU3ATXT.pdf

Az új rendelet az összes tagországra kötelező érvénnyel bír. Lényege, hogy a személyes adatok védelmének magasabb szintjét határozza meg: a természetes személyeknek, akiknek az adatait kezelik, jogokat ad az adatok felhasználásának célját ellenőrizni, illetve kérhetik az adataik törlését, „elfelejtését” ha az adatkezelést már nem kérik a jövőben.

 MIÉRT VOLT SZÜKSÉG A GDPR-RA?

A rendelet elkészítését az tette szükségessé, hogy 1995-ben készült legutóbb ilyen átfogó adatvédelmi szabályozás (95/46/EK európai parlamenti és tanácsi irányelv), és az informatikai eszközök – különösen az okostelefonok, hordozható számítógépek, tabletek – olyan mértékű kiterjesztését jelentik az internetes hálózatoknak, amelyekre a korábbi szabályozás már nem volt tervezve. Másik szempont a közösségi hálózatokon terjedő személyes információk mennyisége, és ennek veszélyessége. Az internetes bűnözés, a személyes adatokkal történő illegális kereskedelem ijesztő méreteket öltött napjainkban, és volumenében már meghaladja a drogkereskedelmet.

AZ ADATKEZELŐK, ADATFELDOLGOZÓK FELELŐSSÉGE

Az adatkezelők és adatfeldolgozók számára szigorú követelmények lépnek életbe a személyes adatok biztonságos tárolása, és csak a célnak szükséges mértékű felhasználása tekintetében. Az ISO 27001 informatikai kockázatkezelési szabvány, és a GDPR is előírja a személyes adatok:

  • Bizalmasságát
  • Sértetlenségét, és
  • Rendelkezésre állását.

ADATVÉDELMI INCIDENSEK A GDPR VONATKOZÁSÁBAN – BÜNTETÉSI TÉTELEK

Illetéktelen adathozzáférés, adatvesztés, adatszivárgás esetén 72 órán belül jelenteni kell az eseményt a felügyeleti hatóságnak (ezt a feladatkört NAIH ((Nemzeti Adatvédelmi és Információszabadság Hatóság látja el a GDPR életbelépése óta), és tájékoztatni kell az érintetteket is. Azokat a cégeket, amelyek megsértik a GDPR előírásait, esetenként 20 millió Euró (kb. 8 Milliárd forint!) vagy az árbevételük 4%-ának megfelelő (amelyik nagyobb) bírságra büntethetik.

Büntetésre sor kerülhet adatvédelmi incidens bekövetkezése esetén, ahol a büntetési tétel függhet attól, hogy az adatkezelő mindent megtesz-e az incidens elhárítása érdekében, milyen érzékeny adatokat érint az incidens, hány természetes személyt érintett az incidens során, illetve adatvesztés esetén van-e mód az adatok részleges vagy teljes visszaállítására?

Példák adatvédelmi bírságokra

2020-ban a DIGI Kft. kapott 100 millió Ft-os adatvédelmi bírságot, mivel egy etikus hackernek sikerült egy tesztadatbázist feltörnie a www.digi.hu  honlapról, amely előfizetői éles adatokat tartalmazott, és ezen adatbázisban történő adatkezelésről az érintetteknek (előfizetőknek) nem volt tudomásuk.

2021-ben a Vodafone (UPC jogutódjaként) kapott jelentősebb adatvédelmi bírságot (60 MFt) az ügyfélszolgálati irodákban történő jogellenes hangrögzítési gyakorlat miatt. Itt a „jogos érdeket” (GDPR 6. cikk (1) f bekezdés) alátámasztó érdekmérlegelési teszt nem volt megfelelően alátámasztva, sérült a célhoz kötöttség és az adattakarékosság elve is (GDPR 5.cikk b) és c) pontja).

A babaváró kölcsönnel kapcsolatos terhesgondozási kiskönyvek másolása is jogellenesnek bizonyult (egészségügy adatok esetében szigorúbbak a követelmények), ez 35 MFt-os adatvédelmi bírságot jelentett az adatkezelőknek, mivel nem volt elfogadható jogalap (GDPR 6. cikke) az adatok kezelésére, sérült az adattakarékosság elve (GDPR 5. cikk), és az érintettek nem kaptak megfelelő tájékoztatást az adatkezelés megkezdése előtt (GDPR 12. cikk (1) pont).

A nemzetközi gyakorlatban a Luxemburgi Adatvédelmi Hatóság szabott ki 750 milliós bírságot az Amazonra, a Francia Adatvédelmi Hatóság (CNIL) büntette meg a Google-t 50 millió Euro-ra, illetve a Facebook-ot 60 millió Euro-ra a felhasználók on-line tevékenységének jogellenes követése miatt.

 A KKV-k is veszélyben vannak

A fenti példák jellemzően nemzetközi óriáscégek, bankok büntetési tételeit mutatták. Azonban a GDPR nem tesz különbséget a kis- és nagyvállalat között, ezt a NAIH képviselői is többször elmondták konferenciákon, sajtóorgánumokban. A 20 millió Euro-s (kb. 8 Mrd Ft) büntetés csődbe vihet még tőkeerős nemzetközi cégeket is, és láthatóan már Magyarországon is emelkedtek a büntetési tételek a GDPR-bevezetése után (a korábbi max. 20 MFt-os büntetés már elérte a 100 Mft-ot).

A kis- és középvállalatok is kezelhetnek jelentős ügyfélbázist, pl. ha szervízpartnerként, közreműködnek valamely nagy gyártónál, illetve, ha informatikai beszállítóként kezelnek ügyfél adatokat. Ezekben az esetekben már a szolgáltatás ellátásához előírhatnak GDPR-megfelelőségi követelményeket a megbízóik. De a saját munkavállalók személyes adatai is figyelmet érdemelnek, mert az érintetti jogokat gyakorolhatják a munkaviszony megszűnését követően is a munkavállalók.

Azt javasoljuk, hogy amennyiben fennáll adatvesztés, adatvédelmi incidens bekövetkezésének a lehetősége, vagy a vállalkozás „személyes megfigyelésre alkalmas” (pl. térfigyelő kamera, hangfelvétel, GPS-nyomkövető berendezés, számítógépes tevékenység figyelése) eszközöket használ, akkor mindenképpen érdemes az adatvédelmi tájékoztatókat átvizsgálni, az adatkezelések jogalapját megvizsgálni, és érdekmérlegelési teszteket elvégezni, ebben is tud a ProMigCon Kft. szakértő segítséget nyújtani.

Eddigi tapasztalataink alapján a „személyes megfigyelés” típusú adatkezeléseket nagyobb részt a „jogos érdek” jogalap alapján végzik a cégek, azonban az érdekmérlegelési tesztek (amelyeket akár el sem végeznek) sokszor nincsenek megfelelően alátámasztva, ami a hatósági (NAIH) vizsgálat során  hamar kiderülhet, és büntetést vonhat maga után.

A BIZONYÍTÁSI ELJÁRÁS

Fontos változás, hogy amennyiben a GDPR-t sértő incidens történik, az adatkezelő és adatfeldolgozó cégeknek kell bizonyítaniuk, hogy mindent megtettek annak érdekében, hogy ilyen ne forduljon elő, illetve, hogy minimalizálták az esemény során az adatok nyilvánosságra kerülésének lehetőségét (pl. titkosítási algoritmusokkal).

 GDPR-MEGFELELŐSÉG ELÉRÉSE

Mivel a GDPR hatálybalépése előtt a az Infotv. (2011. Évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról) ennél kevésbé szigorú követelményeket tartalmazott, és a büntetési tételek is alacsonyak voltak, elképzelhető, hogy még a nagy informatikai fejlesztői kapacitással, bonyolult informatikai rendszerekkel rendelkező cégek sem tettek eleget teljes mértékben az eddigi rendelkezéseknek. Emiatt a GDPR rájuk nézve mindenképpen egy jelentős feladatot jelentett, el kellett érni a GDPR-megfelelőséget 2018. május 25-ig.

A GDPR hatályba lépése előtt a nagyobb magyar és multinacionális cégek, amelyek jelentősebb ügyfélbázissal rendelkeztek, GDPR-auditot végeztettek, ami alapján akcióterv készült a legsürgősebb informatikai és szabályozási változtatások elvégzésére.  Ennek az akciótervnek a teljes körű végrehajtására azonban sok esetben már nem volt idő, és költségkeret, így részben vagy egészben elmaradtak.  Az ilyen hiányosságok kockázatot jelentenek a napi működés során, mivel akár érintetti panasz, akár adatvédelmi incidens nyomán hatósági vizsgálatot (NAIH) és esetleges büntetést is vonhat maga után.

GDPR AUDIT – A GDPR ÉRETTSÉG MÉRÉSE

Cégünk informatikai biztonsággal foglalkozó részlege tud segíteni azoknak a cégeknek, akik szeretnének megbizonyosodni arról, hogy megfelelnek-e a GDPR szabályozásnak, és ha nem felelnek meg, akkor milyen intézkedésekkel, fejlesztésekkel tudják elérni a megfelelőséget.

Módszertanunk alapján felmérjük az összes olyan üzleti folyamatot, ahol személyes adatkezelés történik, azonosítjuk az érintett rendszereket, megvizsgáljuk a rendszerek információbiztonsági megfelelőségét. Adatkategóriák szerint elemezzük a személyes adatkezelések biztonságosságát.

A GDPR AUDIT FONTOSABB LÉPÉSEI

A GDPR- audit során felmérjük a cégek azon üzleti folyamatait, ahol személyes adatkezelés zajlik, azonosítjuk a rendszerek közötti adatátadásokat, és az ügyféllel közösen meghatározzuk az egyes alkalmazások számára minimálisan szükséges személyes adatok körét. Ugyancsak ellenőrizzük a mentési- visszaállítási folyamatokban a személyes adatok kezelésének hatókörét. Külön vizsgálatot igényel az archiválási folyamat: itt is vizsgálat tárgya, hogy a számviteli- és iparági archiválási előírások betartásához mennyiben szükséges a személyes adatok archiválása, illetve a későbbi statisztikai adatszolgáltatásokhoz elegendő-e anonimizált (fel nem ismerhető), vagy „álnevesített” (összekevert) személyes adatok használata?

ÚJ KÖVETELMÉNYEK A VÁLLALATI RENDSZEREKRE

Mivel a GDPR nemcsak az illetéktelen hozzáférés, hanem az adatok elvesztése, megváltoztatása esetében is büntetést helyez kilátásba, ezért a mentési-visszaállítási-archiválási rendszerekre, de az ERP vagy CRM rendszerekre vonatkozóan is meg kell vizsgálni, ezek megfelelnek-e GDPR követelményeinek.

Természetesen nemcsak az egyes rendszerek, hanem az ezeket összekötő interfészek, hálózati kapcsolatok is meg kell feleljenek az előírásoknak, de tovább megyek: az adatok fizikai tárolása, kezelése (ami lehet papíralapú is) is meg kell feleljen a GDPR követelményeknek.

Ezért tulajdonképpen egy teljes IT auditot kell végezni, leszűkítve a személyes adatkezeléssel kapcsolatos GDPR követelményekre.

 

A SZOFTVERGYÁRTÓK FELELŐSSÉGE

Amennyiben a gyártó erre vonatkozóan új verziót bocsát rendelkezésre, akkor ennek az új verziónak a használatba vételéhez is el kell végezni a megfelelő változáskezelési eljárásokat, és ellenőrizni kell az új verzió hatását a GDPR-megfelelőségre.

Azok a cégek, amelyek hosszú évekig elköteleződnek egy-egy szoftvergyártó termékeinek használata mellett (pl. vállalatirányítási (ERP) rendszerek, pl. Oracle R12, SAP, SAP Business One, Microsoft Navision, stb.), a verzióváltások, frissítések során külön figyelmet kell fordítsanak a személyes adatkezeléseket érintő változásokra. Ebben az esetben célszerű bevonni a projektbe egy GDPR-szakértőt  (akit  cégünk is tud biztosítani), hogy a verzióváltás során a GDPR-megfelelőség is megmaradjon.

GYÁRTÓI KÖZREMŰKÖDÉS NÉLKÜL

Amennyiben a gyártók nem bocsátanának ki ilyen javításokat (vagy már nincs idő/erőforrás ezek biztonságos alkalmazására, bevezetésére) akkor a vizsgált cégeknek kell olyan adatkezelési fejlesztéseket, szabályozásokat kidolgozni, amivel a meglévő rendszereik megfelelősége (compliance) biztosított lesz.

Ebben az esetben veszélyforrást jelent, hogy a gyártó által már nem támogatott terméket tovább „customizálják” (testre szabják), ami szükséges is lehet a törvényi változások miatt, és a korábbi GDPR-megfelelőség sérül. Mivel ezek a belső IT által „támogatott” rendszerek sérülékenyebbek, ezért a rendszergazdák hajlamosak több ÉLES és tesztpéldányt fenntartani, éles adatokkal, ami sérti a GDPR adattakarékosságra és célhoz kötöttségre vonatkozó előírásait (GDPR 5. cikke), és akár egy tesztadatbázis feltörése, nyilvánosságra kerülése is jelentős adatvédelmi bírságot von maga után (ld. DIGI Kft. esete).

Amennyiben az Önök cégénél vannak a fenti leírás szerinti, gyártó által nem támogatott, tovább „customizált” rendszerek, célszerű egy GDPR-audit végrehajtása ezen rendszerek vonatkozásában, mielőtt érintetti panasz vagy adatvédelmi incidens miatt jelentős büntetést kellene elszenvednie a vállalatnak.

PRIVACY BY DESIGN AND BY DEFAULT

A jövőben megvalósítandó fejlesztések, rendszerbevezetések esetén alapvető követelmény lesz, hogy már a tervezés (Design) időszakában figyelembe vegyék a GDPR követelményeit, így a rendszer élesbe állításakor teljesülni fognak a feltételek. Ez az alapelv érvényes a változáskezelési folyamatokra is. Ezeket a követelményeket a GDPR 25. cikke írja le részletesen.

ARCHITEKTÚRÁLIS ÁTALAKÍTÁSOK – A GDPR MEGFELELŐSÉG ÉRDEKÉBEN

Mindenképpen érdemes a GDPR- audit során olyan architekturális változtatásokat kidolgozni, amely a jövőben lehetővé teszi a személyes adatok kezelésének magasabb szintű kontrollját, és a változáskezelési eljárások hatékonyságát is növeli.

Olyan változtatásokra gondolunk itt, mint pl. a személyes adatok központi kezelése (az egyes alkalmazások innen veszik a személyes adatokat). Ilyenek pl: az Acive Directory (AD) authentikáció (központi címtár kezelés) a belső munkatársak jogosultságkezelésére, SSO (Single-Sign-On) azonosítás, illetve az ügyfél- és szállítói törzsadatok központi kezelése.

Ezek az architekturális változtatások hamar megtérülhetnek, ha figyelembe vesszük az adatkarbantartások, -frissítések csökkent munkaigényét, az adatvédelmi incidensek megakadályozása, elhárítása során a gyorsabb, hatékonyabb megoldásokat, illetve az esetleges adatvesztések elkerülését (a központilag tárolt és megfelelő biztonsággal mentett adatok visszaállítása is egyszerűbb, mint a sziget rendszerekben egyedileg elvégzett tevékenységek).

A vállalati adatvagyonon belül kiemelt fontossággal kell kezelni a személyes adatokat (ügyféladatok, dolgozói adatok), és ezekre vonatkozóan folyamatosan frissíteni, karbantartani az adatkezelési szabályzatot.