GDPR és IT biztonság

A kockázat alapú megközelítés szerepe és lépései…

Előzmény

  1. május 25-én hatályba lép az európai unió adatvédelmi rendelete (General Data Protection Regulation, GDPR), amely egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat. A GDPR elsősorban a személyek jogait, másodsorban pedig a társaságok a kötelezettségeit bővíti.

Mivel a munkáltató a munkaviszony során a munkavállalók személyes adatait kezeli, ezért adatkezelőnek minősül, így vonatkozik rá a GDPR.

Jelentősége, új fogalmak bevezetése:

  • közvetlenül hatályos és alkalmazandó valamennyi tagállamban
  • tárgyi hatálya: a GDPR alá tartozik bármely azonosított vagy azonosítható természetes személyre vonatkozó bármely adat kezelése. Az online azonosítók (így például egy IP cím vagy süti azonosító) szintén ilyen adatnak minősül.
  • a személyes adatok köre egyben üzleti értéket és kockázatot is hordoz magával
  • adatvédelmi incidens (adatlopás, jogellenes adatkezelés, adatmegsemmisülés, feltörés stb.) bejelentése (kvázi önfeljelentés): bejelentési kötelezettsége keletkezik a hatóság felé, melyre a tudomásszerzéstől számított 72 óra áll rendelkezésre, és mely 2 irányú következményeket vonhat maga után

– NAIH: bírság (maximum 20M EUR / globális árbevétel 4 %-a, amelyik magasabb)

– sérelmet szenvedett: kártérítési igény, sérelemdíj

  • a személyes adatok elfeledtetéséhez való jog

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, köteles ezzel párhuzamosan ésszerűen elvárható lépéseket tenni annak érdekében, hogy tájékoztassa az ilyen, törölni kért adatot kezelő további adatkezelőket, hogy utóbbiaknak is lehetősége nyíljon törölni ezen adatok másodpéldányait, illetve az azokra mutató linkeket. Az érintett elfeledtetéshez való joga azonban nem korlátlan – az adatkezelő bizonyos esetekben jogosult a törlést megtagadni.

  • az adathordozhatósághoz való jog

Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog. Ez annyit tesz, hogy az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, és azt egy másik adatkezelőnek továbbítsa.

Hátrányai

  • előfordulhat, hogy az egymással versengő társaságok kihasználják ezt, és rosszhiszeműen a versenytársak „bosszantására” tesznek bejelentéseket a NAIH felé, akinek nincs mérlegelési jogköre, egy bejelentésről nem vizsgálhatja, hogy valóban valós-e vagy csak a konkurens cég hátrányokozását célozza
  • az EU-s jog és a hazai ágazati szabályok összehangolása még nagyon a folyamat elején tart, így ebből még lehetnek ütközések, annak ellenére is, hogy alapvetően az eu-s jog elsőbbséget élvez
  • a technikai, informatikai fejlesztésekre fordított költségek jelentősen megnőhetnek

Cél: a személyes adatok védelme egyezményes szintén, az alábbiakkal:

  • önvizsgálat
  • döntés a felkészülés menetéről, részleteiről
  • adatkezelések, folyamatok, felelősök azonosítása
  • tiszta, pontos és teljes adatbázis

Főbb lépések, új feladatok

  1. GDPR-nak megfelelő tájékoztatás és hozzájárulás:

Az adatkezelők kötelesek tájékoztatni az érintetteket az őket érintő személyes adatkezelésről. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell megadni

Jelenleg általában a munkaszerződés tartalmaz egy rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen, ezért fontos, hogy a munkáltató helyesen állapítsa meg az adatkezelés jogalapját. Ennek megfelelően, jövő májusig a munkáltatónak át kell vizsgálnia a munkaszerződés mintát és megállapítani, hogy egyes adatokat milyen jogcímen kezelik. A munkáltatóknak vélhetően egy részletesebb adatvédelmi tájékoztatást kell a munkaszerződésbe foglalniuk, illetve egyedi hozzájárulásokat kérni adatok kezelésére.

Az érintett hozzájárulása, mint a személyes adat kezelésének jogalapja, nem új fogalom az adatvédelemben. A GDPR azonban szigorúbb követelményeket vezet be a korábbi irányelvhez képest. Amennyiben egy vállalat az ügyfél hozzájárulását kéri személyes adatainak kezeléséhez, a hozzájárulásnak egyértelműnek kell lennie.

A továbbiakban a nem tevőleges magatartás már nem számít az ügyfél részéről hozzájárulásnak. A vállalatoknak ezért minden papír és digitális alapú adatkezelési felületen meg kell változtatniuk a hozzájárulással kapcsolatos beállításaikat, hogy megfeleljenek az új szabályozásnak.

A vállalatoknak továbbá a jogellenes adatkezelés megelőzése érdekében biztosítaniuk kell, hogy a hozzájárulás mechanizmusa szorosan összekapcsolódjon az adatkezelési tevékenységükkel. Az érvényes hozzájárulás nélküli adatkezelés jogszabályba ütköző tevékenységnek minősül.

  1. Az informatikai rendszer adatvédelmi szempontú átvizsgálása

Álnevesítés:

Új jogi fogalomként jelenik meg a személyes adatok anonimmá tételének módszere „álnevesítés” útján. Ez a kifejezés azt jelenti, hogy a személyes adatokat úgy kezelik, hogy további információ felhasználása nélkül nem lehet megállapítani, hogy az adott adat mely konkrét természetes személyre vonatkozik. Ezt a kiegészítő információt külön kell tárolni, és technikai, illetve szervezési intézkedésekkel kell megőrizni azok bizalmasságát. A Rendelet több ponton is az álnevesítést említi, mint a kívánt és jogszerű megoldást bizonyos adatkezelési helyzetek esetén.

Átstrukturálás:

A GDPR alapján az eddig alkalmazott jogalapok vonatkozásában hangsúlyeltolódás, részleges átstrukturálás és szemléletváltás várható. Kérdéses lehet az is, hogy a megfelelően kiválasztott jogalap és meghatározott célhoz kötött adatkezelés további célból való kezeléséhez milyen jogalapot tud felhívni a vállalkozás. Érdekes kérdés lesz például, hogy egy ilyen esetre lefolytatott érdekmérlegelés kiállja-e majd az adatvédelmi hatósági, illetve adott esetben bírósági próbát. Problémát jelenthet a felkészülésnél, hogy sok esetben a vállalkozások számára nem is ismert, hogy GDPR hatálya alá tartozó adatkezelést végezhetnek. Gyakori például, hogy az adatkezelés többszöröződig és egy feltételezhetően megfelelő jogalapon és célból gyűjtött adat kezelésére másodlagos jogalap meghatározása nélkül, eltérő célból kerül sor, ilyen gyakori eset például a személyesadat-alapú elemzések végzése folyamatoptimalizálási, üzletfejlesztési szempontból, vagy teljesítményértékeléssel összefüggő profil alkotása.

Kockázati pontok feltérképezése

Mind vertikális, mind horizontális folyamati szempontból fontos felmérni az adatkezelési tevékenységet és a GDPR szempontjából kockázatos pontokat, hogy ezek vonatkozásában megfelelő intézkedéseket, az érintetti jogok érvényesülését biztosító tájékoztatási, hozzájárulási, jogi intézkedéseket és mechanizmusokat lehessen bevezetni. Az ilyen megfelelőségi mechanizmusok kialakításához tartozik az olyan kulcs szerepkörök, mint az adatvédelmi tisztviselők tisztségének pontos, a függetlenségi és összeférhetetlenségi következmények mentén való körülhatárolása és az új megfelelőség demonstrálására alkalmas magatartási kódexek elfogadása.

(forrás: elhangzott a KPMG konferencián, 2018. február 21. napján)