Blog

Az adatok biztonságos kezelésének feltételeit az adatkezelő köteles biztosítani, amely sokszor nem egyszerű feladat. Néhány jogeseten keresztül igyekszünk segítséget nyújtani az adatkezelőknek, hogy elkerülhessék a cikkben szereplő hibákat és ezzel együtt a súlyos adatvédelmi bírságot.

Az EU általános adatvédelmi rendelete (a továbbiakban: „GDPR”) megalkotása során a jogalkotó arra az álláspontra helyezkedett, hogy az adatkezelőnek kiemelt szerepe van abban, hogy az érintettek biztonságban tudhassák adataikat. Éppen ezért az adatkezelőnek – különösen, ha az interneten jelenlévő vállalkozás – számos körülményt kell figyelembe vennie a biztonsági rendszere kialakítása során.

Az adatvédelmi hatóság az eljárása során vizsgálja, hogy az adatkezelő a kockázattal arányos, megfelelő szintű biztonsági intézkedéseket alkalmaz, valamint azt is, hogy rendelkezik-e a szükséges, belső eljárásrenddel, incidenskezelési protokollal.

Az adatvédelmi incidens az adatkezelők rémálma, rövid határidő alatt, gyorsan és hatékonyan kell cselekedni, miközben súlyos következménnyel járhat az adatkezelő bármilyen mulasztása.

Annak érdekében, hogy az adatkezelő határidőben tudja teljesíteni a kötelezettségeit, érdemes naprakész, hatékony belső eljárásrendet, incidensprotokollt kidolgozni, amely sorvezetőként is szolgálhat arra az esetre, ha mégis megtörténne a baj.

A jogalkalmazás során az EU-tagállamok adatvédelmi hatóságai rendszeresen felhívják a figyelmet arra, hogy az adatok kezelésének és tárolásának biztonsága az adatkezelő legfontosabb feladatai közé tartozik, amelyet az adatvédelmi incidensek vizsgálata során az eljáró hatóság is megfelelően értékel.

Az egyes tagállami hatóságok döntéseiből válogattunk ki néhány, az adatkezelők számára tanulságos példát.

1.      A francia adatvédelmi hatóság jelentős mértékű büntetéssel sújtotta Európa egyik legnagyobb cipőértékesítéssel foglalkozó webáruházát súlyos szabálytalanságok miatt, amelyek közül az egyik az adatok biztonságát érintette. A francia hatóság kiemelte, hogy a GDPR a lehetséges kockázattal arányos biztonsági intézkedéseket vár el az adatkezelőtől a személyes adatok kezelése során. A határozatban külön figyelmet kapott, hogy az adatkezelő részéről nem elegendő intézkedés a felhasználói fiókok nyolc karakter hosszúságú jelszóvédelme, amennyiben az adatkezelő semmilyen egyéb, különleges követelményt nem támaszt a jelszavakkal kapcsolatban és a felhasználói fiókok használata során sem épít be további biztonsági elemeket.

Tapasztalataink szerint az átlag felhasználó jellemzően a születési idejét adja meg nyolc karakterben, ha nincs rákényszerítve, hogy változatos karakterekből álljon a jelszava. Az egyszerű számsor kiderítése ujjgyakorlat a hackerek számára és kizárólag a hacker személyiségén múlik, hogy mit kezd az információval. A francia adatvédelmi hatóság javasolja, hogy a felhasználói fiókhoz tartozó jelszó amellett, hogy kellően hosszú, betűket, számokat és különleges karaktereket egyaránt vegyítsen.

Ugyancsak jó gyakorlatnak számít, ha a felhasználói fiókok belépési idejét korlátozza az adatkezelő – amennyiben nem mutat aktivitást a felhasználó, a rendszer automatikusan kijelentkezteti a fiókjából.

Az illetéktelen hozzáférés lehetőségét csökkenti a fiók átmeneti vagy további intézkedést igénylő zárolása, amennyiben a felhasználó egymás után többször helytelenül adja meg a jelszavát.

2.      A biztonság sérülése azonban nem pusztán a felhasználói fiókokkal kapcsolatban merülhet fel. A dán adatvédelmi hatóság az adatkezelőnek felróható eseményként értékelte azt is, amikor egy bejelentő más személyes adatait kapta meg.

Erre a magyar gyakorlatban is volt példa: egy biztosításokkal foglalkozó adatkezelő az érintett személyes adatait tartalmazó ajánlatát az érintett által megadott e-mail címre küldte el, azonban az e-mailt (az adatok téves közlése miatt) harmadik személy kapta meg. A Nemzeti Adatvédelmi és Információszabadság Hatóság felszólította az adatkezelőt, hogy további védelmi garanciákat építsen be a rendszerbe az ilyen esetek elkerülése érdekében. Hatékony megoldás lehet, ha a személyes adatokat tartalmazó dokumentum kiküldését megelőzően egy megerősítő e-mailt küld az adatkezelő az érintett által megadott e-mail címre, amellyel elkerülhetőek az ilyen jellegű incidensek.

3.      Szintén a magyar hatóság járt el az egyik nagy távközlési céggel szemben, amikor többek között a megfelelő biztonsági intézkedések hiánya miatt marasztalta el az adatkezelőt. A hatóság az adatbázisok sérülékenységét, a titkosítás hiányát, valamint azt emelte ki, hogy az incidens során különösebb erőfeszítés nélkül tömeges ügyféladatokhoz lehetett hozzáférni, amely egy ilyen nagy adatkezelő esetén elfogadhatatlan tekintettel arra, hogy megfelelő erőforrással rendelkezik a kockázattal arányos védelmi eszközök használatához.

A kiválasztott döntések alapján úgy tűnhet, hogy kizárólag a nagyvállalatok kerülnek az adatvédelmi hatóságok látókörébe, azonban óva intünk mindenkit attól, hogy erre alapozza az adatvédelmi felkészültségét.

Valamennyi adatkezelőnek – szükség esetén adatvédelmi szakember bevonásával – egyedileg kell mérlegelnie és eldöntenie, hogy az általa használt védelmi intézkedés kellően biztonságos, a kezelt személyes adatok jellegének és az adatkezelés módjának és mértékének megfelelő.

Felhívjuk a figyelmet arra is, hogy a személyes adatok biztonságos továbbítása is az adatkezelő felelőssége. Amennyiben adatfeldolgozót (pl. könyvelő iroda, tárhelyszolgáltató, hírlevélküldő szolgáltató) vesz igénybe az adatkezelő, fontos, hogy meggyőződjön arról, az adatfeldolgozónál is adottak a biztonságos adatkezelés és tárolás feltételei.

Dr. Szücs Renáta

Photo credit: pexels.com