2017. december: jegyzet, orvostudomány, portré, Nemzeti Agykutatási Program, tudomány, egyetem, fizika, fenntarthatóság, zöldkörnyezet, genomika, bioinformatika, it, neutronkutatás, anyagtudomány, innováció, atomenergia, gépipar, elektronika, startup, energiagazdálkodás, biztonságtechnika
2017. december 12.

Szerző:
B. Szabó Edina

Adatkezelés és adatvédelem felsőfokon – GDPR

Hamarosan életbe lép az új európai uniós adatkezelési és adatvédelmi rendelet, a GDPR (General Data Protection Regulation). A hatályba­lépés határideje 2018. május 25., ami több cég számára reménytelenül közelinek tűnhet, és bár azzal együtt, hogy az elmúlt hónapokban számos esemény, videós segédanyag, szakmai előadás segített az érintetteknek, a cégek számára bizony sok az átgondolni- és tennivaló.


Hogy ez a rendelet kire vonatkozik, milyen folyamat végrehajtása vezet a büntetések elkerüléséhez, hogyan kell hosszú távra felépíteni egy adott vállalat munkafolyamatában, egyáltalán lehetséges-e betartani a jövő májusi határidőt – mindezekről Angyal Adrián információbiztonsági szakértőt kérdeztük.

Igazán csak fél éve bolydult fel az adatvédelmi szakma, azóta viszont egymást érik a témába vágó előadások, érkeznek a hírlevelek. Tulajdonképpen mi a rendelet célja?

– A rendelet azzal a céllal született, hogy Európai Unión belül egységes jogi környezetet hozzon létre a magánszemélyek személyes adatainak védelmére, kezelésére és feldolgozására vonatkozóan. Fontos kiemelni, hogy egy alapvető emberi jog megszilárdítása a cél és az, hogy a magánszemélyek a gyakorlatban is élni tudjanak a jogaikkal. Ennek megfelelően a rendelet további célja, hogy ki tudja kényszeríteni a cégek, szervezetek jogkövető magatartását. Ennek az eszköztárnak elemei például a hatalmas bírságok, maga a jogszabály szövege és a jó néhány ajánlás, ami segíti a megfelelést.

Nem teljesen új a személyes adatok védelmének témaköre az Európai Unióban. Már a kilencvenes évek közepén rögzítettek bizonyos irányelveket (az Európai Parlament és a Tanács 95/46/EK irányelve), melyeket ez a rendelet vált le. Az irányelv nem volt kötelező, lényegében csak ajánlást jelentett, és a tagállamok törvényhozói alakították ki ennek alapján a saját hazájukban az irányelveket. Most más a helyzet, ez egy rendelet, amelynek 2016 tavasza óta elérhető a végleges szövege. A tagállamok szigorúbb szabályokat hozhatnak majd, de saját jogszabállyal nem gyengíthetik ezt a rendeletet.

A rendelet elkészült, 2016 tavasza óta elérhető a végleges szövegezés. Azzal a céllal született, hogy Európai Unión belül egységes jogi környezetet teremtsen a magánszemélyek személyes adatainak védelmére, kezelésére és feldolgozására. A tagállamok szigorúbb szabályokat hozhatnak majd, de saját jogszabállyal nem gyengíthetik ezt a rendeletet.
Hogyan kell felkészülni, hol kezdje, mondjuk, egy cégvezető?

– Először is meg kell vizsgálni azt, hogy az adott cégre vonatkozik-e a GDPR. A válasz általában igen lesz. Az Európai Unión belül mindenkire vonatkozik, aki olyan gazdasági vagy egyéb tevékenységet folytat, aminek következtében személyes adatok kerülnek a birtokába, és így adatkezelővé vagy adatfeldolgozóvá válik (pontos definíció a rendeletben található). Viszont vannak olyan kitételek, amelyek mentesítenek bizonyos tekintetben a jogszabály egyes részeinek alkalmazása alól. Például a vállalati létszám is egy fontos tényező, a jogszabályok szerint 250 fő alatti cégeknek csak speciális esetben kell nyilvántartást vezetniük az adatkezeléseikről. Azért azt magunk is érezzük, hogy ha nem is kötelező alkalmazni bizonyos részeket, nem szükséges mindenkinek hatáselemzéseket készíteni, adminisztrációs és ellenőrző rendszert kidolgozni, attól még az rossz, ha egy kisvállalkozó, mondjuk, egy webshop vagy egy fodrász túl sok adatot gyűjt be indokolatlanul a klienseiről. Ha például egy webshop túlmegy a szokásos név-cím és a számlázáshoz, szállításhoz feltétlenül szükséges információkon, és az egyéb szokásainkról gyűjt adatokat, az már nem tartozik az alaptevékenysége ellátásához szükséges adatgyűjtéshez. A gondokat tovább fokozza, ha a webshop üzemeltetője nem megfelelően kezeli a birtokába jutó adatokat, és azok valamiképpen nyilvánosságra kerülnek, vagy egy rosszindulatú tömeges adatszivárogtatás-hullám következtében sok olyan adat is kikerül, aminek már régen nem lett volna szabad a rendszerben lennie. Ilyenkor már halmozódnak a büntetési tételek, hiszen vélhetően nem megfelelő az informatikai védelem, hiányzik az adatkezelés jogalapja, illetve a GDPR által előírt adminisztráció és elemzés is hiányozhat.

A vállalati létszám azonban csak egy tényező, a mikrovállalkozások vagy a kis- és középvállalkozások nem mentesülnek csak a méreteik okán, természetesen a téma ennél jóval összetettebb. Például ami eddig is kiemelten fontos volt, ezután azonban a számonkérhetősége a törvényi oldalról is komolyabb lesz (hiszen a bizonyítási terhet a cég viseli), az a különleges kategóriába tar­tozó személyes adatok kezelése.

Személyes adatok különleges kategóriái
Az etnikai származásra, politikai véleményre, vallási vagy világ­nézeti meggyőződésre, avagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Például egy randi oldalon elhelyezett név, cím és egyéb elérhetőség, ami normál esetben még „csak” egyszerű személyes adat, a kontextus miatt már „átalakulhat” különleges kategóriába sorolt személyes adattá. Közösségi oldalak is hasonló kihívásokkal fognak szembesülni, jól meg kell húzni tehát a határt, hogy ki és mit szolgáltat, miért felelős. A felhasználókat pedig közérthetően és egyúttal teljeskörűen kell tájékoztatni arról, mi történik az adataikkal.

Egy közösségi oldalon elhelyezett név, cím és egyéb elérhetősége, ami normál esetben még „csak” egyszerű személyes adat, a kontextus miatt már „átalakulhat” különleges kategóriába sorolt személyes adattá. Jól meg kell húzni a határt, hogy ki és mit szolgáltat, miért felelős. A felhasználókat pedig, közérthető nyelven és egyúttal teljes körűen kell tájékoztatni arról, mi történik adataikkal.

Ezek a típusú vállalkozások létszámtól, cégmérettől függetlenül egészen biztosan a GDPR „kibővített” hatálya alá esnek majd, és vélhetően az összes megkövetelt intézkedést végre kell hajta­niuk. Összességében tehát azt kell hangsúlyoznunk, hogy a rendelet megismerése mindenki számára javasolt, ahogyan a felismert és az abban szereplő szükséges elvek betartása is. Ebben van rugalmasság, ami azonban nem jelenti azt, hogy szabad tudatosan szembemenni a hatósági szabályozással.

Az első lépés tehát a rendelet megismerése.

– Igen, ugyanakkor nem gondolom, hogy a cégek vagy cégvezetők feladata volna, hogy adatvédelmi szakértővé képezzék ki magukat. Szándékosan nem a „jogász” kifejezést használom. A GDPR megfelelés nem csak „jogi probléma”. Mint például az ISO minősítések esetében, itt is rendelkezésre állnak megfelelő tanácsadó cégek, szakértők. Természetesen jó, ha van egy szakértő az adott vállalatnál, vagy a cégvezető megismeri a saját körülményeire adaptálandó részeket, rendszerelemeket, mindemellett érdemes olyan segítséget keresni, aki személyre szabottan kezeli a cégünk meg­feleltetési folyamatát. Felmér, rászab, bevezet, edukál, majd szükség szerint rendelkezésre áll – kinevezett adatvédelmi felelősként.

Fejtsük ki kicsit, a felkészülés melyik szakaszában mire lehet számítani?

– Ha tudatosan és kellő tapasztalattal állunk neki a GDPR felkészülésnek, rájövünk, hogy nem kell új dolgokat feltalálnunk. Célszerű egy irányítási rendszerben gondolkodni – akárcsak a már említett ISO szabványok esetében. Ennek az is az előnye, hogy integrál­ható más, folyamatalapú irányítási rendszerekkel, folyamatokkal. Mint a legtöbb irányítási rendszer esetében, itt is a céges folyamatok felmérése és a fogalmak tisztázása az első lépés. Az adat­kezelés tekintetében nagyon fontos az adatok bekérésének, bekerülésének, feldolgozásának és aztán tárolásának, törlésének a módja. Szokásos kérdések lehetnek: Hogyan kérjük el a vásárló/kliens/felhasználó adatait? Milyen mélységben ismerjük meg a részleteket a klienssel kapcsolatban? Mihez kezdünk vele? Itt nem elég jelezni, hogy harmadik félhez kerül-e vagy sem, sok-sok rétege van az adatkezelés biztonságossá tételének. Mennyi időre kérjük el az adatokat és „hova tesszük”, ha már lezártuk például azt a konkrét folyamatot, amelynek kapcsán megismertük a klienst? Ezekből is látszik, számos terület érintett lehet: ügyfélszolgálat, informatikai, jogi és munkaügyekkel foglalkozó csapat, szerződéses partnereink.

Azzal tisztában vannak a cégek, hogy mit és hol tárolnak?

– Általában nem… Vannak az egyértelmű dolgok, mint mondjuk egy webshop esetében, ahol vásárolnak, regisztrációs vagy vendég bejelentkezéssel és így tovább. Ez világos lehet bárki számára, megvannak a jól bevált keretek üzemeltető és felhasználói oldalról egyaránt – bár ezek még nem feltétlenül 100 százalékig GDPR kompatibilis szolgáltatások. És aztán elérkezik az idő például a karácsonyi kérdőív kiküldéséhez vagy egy nyereményjáték indításához, amikor merőben más jellegű válaszokat várunk a résztvevőktől. Vagy egy munkaerőfelvételi időszak, ahol érkeznek az önéletrajzok, a portfóliók, tele érzékeny adatokkal, vagy egy kedvezményes orvosi szolgáltatáshoz kapcsolódó kampány, amelynek során célzottan keresik a pácienseket. Az ilyen időszakos adatgyűjtésekből kinyert, adott intervallumban felhasznált adatok nem tárolhatók hosszú ideig – ha megszűnik a jogalap, például a szerződés, az adott akció, felvételi eljárás. Félreértés ne essék, a jelenlegi magyar jogszabályi környezet is hasonlóan szigorú a célhoz kötöttséggel kapcsolatban. A még érvényes magyar Infotörvény bizonyos esetekben az adatgyűjtéshez bejelentési kötelezettséget rendelt. A GDPR nem ír elő ilyen, hatóság számára kötelező bejelentést, tehát csökken az adminisztráció ebben a tekintetben, azonban a fentiekre vonatkozó dokumentálási folyamat kibővül – mint ahogy utaltam is rá, a cégeken a bizonyítási teher. Ez azzal jár, hogy kérések, incidens esetén a cégnek kell „papírokkal alátámasztva” bizonyítania majd, hogy jogszerűen járt el. Ha az adott folyamat jól van felépítve, jól követhető az adminisztrációja, akkor bármilyen ellenőrzésen megállja a helyét, és éppen olyan eszköze lesz a „jó vállalat” imidzs (brand) építésének, mint az ISO minősítések.

Egy munkaerőfelvételi időszakban, ahol érkeznek az önéletrajzok, a portfóliók, tele érzékeny adatokkal, vagy egy kedvezményes orvosi szolgáltatáshoz kapcsolódó kampánynál, ami célzottan keresi a pácienseket, az ezen időszakos adatgyűjtésekből kinyert, adott intervallumban felhasznált adatok nem tárolhatók hosszú távon – ha megszűnik a jogalap, például a szerződés, az adott akció vagy a felvételi eljárás.

Visszatérve az adatkezelésre, tulajdonképpen mindent adminisztrálni kell. Ezt nem feltétlenül úgy kell elképzelni, hogy egy újabb papírt teszünk a papír mellé. Ismerni kell, hogy az adat életútja során hol és milyen intézkedésekkel védjük azt, és erről milyen „feljegyzések” készülnek, például naplófájlok egy szerveren. Egy kis kitérő: Kérhetünk nyilatkozatokat, de az ne arról szóljon, hogy indokolatlanul lemond minden jogáról az adatkezelés alanya (és felment minket a GDPR alól). Ez nem lesz sem etikus, sem jogkövető magatartás.

De hogy ne csak vállalatokról beszéljünk, nézzünk meg egy egyetemi adminisztrációs rendszert. Tegyük fel, hogy az online órarendek, a kreditpontok, a vizsgaidőpontra jelentkezések vagy a tandíjbefizetések nyomon követései mind egy rendszerben zajlanak. A hallgatóknak van egy felhasználónevük, amely betűkből és számokból áll, és általában tartalmazza a monogramjukat és a hozzá kapcsolt számokat. Ezt az azonosítót használják végig a tanulmányaik során, ez kerül ki a faliújságra is adott eredményhirdetéseknél, és így tovább. Mi van akkor, ha valakinek olyan speciális monogramja van, amiből egyértelműen lehet azonosítani őt? Szükséges az illető adatait máshogy kezelni? Vagy másként kell generálni a felhasználónevét? Vagy erre már megfelelő hozzájárulást kértünk tőle és belegyezett abba, hogy az adatait így kezeljük? Nos, amennyiben az egyetem adatkezelésirányítási rendszerében találunk ezekre a kérdésekre vonatkozó irányadó válaszokat, akkor nem sok teendőnk lesz. Ha ezekre nincs válasz, akkor bizony ideje elkezdeni a felkészülést.

Vagy vegyünk egy edzőtermet. Az edzőterembe bérlettel járók között egy névtelenséget garantáló kérdőív jár körbe. Mi történik akkor, ha néhány kérdésre csak egy személy válaszol egy bizonyos módon, vagy csak egy személy nem válaszol? Ezután, egy ilyen környezetben, egyértelműen be lehet azonosítani az adott személyt. Felmerül a kérdés, hogy akkor valóban anonim-e a kérdőív. Ez önmagában nem baj, sőt ilyen esetekre kell számítanunk. Amennyiben az edzőterem adatkezelése megfelelő védelmet nyújt annak az egy személynek is, valójában persze minden odajáró embernek, akkor megmaradhat az „anonimitása”, vagy inkább csak azt tudjuk ígérni, hogy bizalmasan kezeljük az adatait. Tehát ha azt ígérjük, hogy nem másoljuk le, nem kerül ki az adat, akkor bizonyosodjunk meg róla, hogy valóban nem készül másolat a kérdőívekről, amelyek nem kerülnek be egy mappába a főnök irodájában, ott meg egy nyitott polcra, vagy nem jutnak beszkennelve a recep­ciós kolléga gépére csak azért, hogy nála is meglegyen. Érdemes át­gondolni, mit hol tárolunk, kikről van már most adatunk és meddig őrizzük meg azokat. Arra törekedjünk, hogy minél kevesebb hibalehetőség maradjon a rendszerben.

Ezek a példák olyan rossz beidegződéseket, rutineljárásokat mutattak be, amelyek valószínűleg a cégek, szervezetek 98 százalékára jellemzőek, ezért aztán nem tűnik egyszerűnek a változtatás.

– Valóban, léteznek rossz rutinok, amelyeken muszáj változtatni. Fel kell mérni a kockázatokat, szinte semmilyen védelem nem nyújthat teljes biztonságot, de a GDPR sem áll elő irreális elvárásokkal. Az az igazság, hogy egyszerűen minden IT rendszert arra kellene használnunk, amire való.
Az e-mailt például információcserére, kommunikációra, találkozók egyeztetésére kellene használni, nem jelszavak, személyes adatok és üzleti titkok küldözgetésére. Az ingyenes levelezőrendszerek felhasználói feltételei között egyébként egyértelműen le van írva, hogy semmilyen felelősséget nem vállalnak a rajtuk keresztül áramló információkért; ha feltörik a fiókot vagy akár a komplett rendszert, akkor „így jártunk”. Ettől függetlenül a nyílt felhőszolgáltatások remekül működnek és gondoskodnak a biztonságról – de cégen belül, vállalati környezetben elég rossz ötlet a nyílt szolgáltatások használata. Ne nyomtassunk feleslegesen, ha egyszer digitális formában megérkezett, mondjuk, egy önéletrajz, nézzük meg képernyőn, zárt vállalati hálózaton keresztül, és aztán töröljük a folyamat lezárultával. Kezeljük a dokumentumokat zárt rendszerben – ám egy könnyen továbbítható e-mail nem jelent „zárt” rendszert. A felvételi eljárások során kezelt adatok törlésére például a jelölt maga is kérhet bizonyítékot, miszerint igazoljuk, hogy nem maradt a rendszerben személyes adata. De ha ezt mi körbelevelezzük, és nincs szabályozva a folyamat vagy az informatikai eszköz, akkor lehet, hogy nem lesz olyan rendszergazda, aki képes a totális törlést teljes bizonyossággal állítani – és hitelt érdemlően igazolni. És ez nem a rendszergazda vagy az IT rendszer hibája.

Ne nyomtassunk feleslegesen, ha egyszer digitális formában megérkezett, mondjuk, egy önéletrajz, nézzük meg képernyőn, zárt vállalati hálózaton keresztül, és aztán töröljük a folyamat lezárultával. Kezeljük a dokumentumokat zárt rendszerben.

Persze a levelezés biztonságát is lehet még fokozni, de a felhasználók sokszor a jelenleg rendelkezésre álló folyamatokat, technikai lehetőségeket sem alkalmazzák. Van már többlépcsős azonosítás, elektronikus aláírás. Viszont ezek a technikák nem vagy csak részben csökkentik a kockázatokat, és nem fednek le minden követelményt. Ilyen esetben nyilvánvaló, hogy a folyamat rossz, és nem a megfelelő IT megoldást használjuk a feladatra. Ez eddig is jelenthetett problémát (például nehéz kereshetőséget), most azonban már jogszabályt is sértünk vele.

A felbolydulás miatt tapasztalható némi pánik a cégek részéről, hiszen akár millióeurós büntetések is lehetnek a jogszabály megszegése miatt. Mit javasol a most eszmélő cégeknek?

– A büntetéssel kapcsolatban annyit pontosítanék, hogy a maximum valóban 20 millió euró, illetve a cég árbevételének 4 százaléka – attól függ, melyik a nagyobb.
Az első ijedségen túl kell esni. Sok efféle hullámon vagyunk már túl, és a terület természeténél fogva várható is még hasonló. Nagyon fontos átgondolni az adatgyűjtést, a jelenlegi adatkezelésünket. Ahol van vállalatirányítási, minőségirányítási rendszer, ott ez várhatóan némileg könnyebben fog menni, egyrészt mert van már rutin a megközelítéssel kapcsolatban, másrészt mert a meglévő rendszerek feltételeznek működő folyamatokat, adminisztrációt és hozzáállást. Ahol nincs ilyen, ott sem lesz probléma, mert némi munka árán átlátható, milyen információkat gyűjtünk, használunk, tárolunk, de ezt tudatosan kell megtenni. Szükség lehet külső segítség bevonására, aki segít eligazodni a GDPR rendszerében, felméri a szükségleteket, optimalizálja vagy kidolgozza az irányítási rendszert, és oktatja a munkavállalókat is – hiszen végül a kollé­gáink lesznek azok, akik az adatokkal dolgoznak. A munkavállalók tartják be vagy szegik meg a szabályokat – az ő együttműködésüket meg kell szerezni, be kell vonni őket ebbe a folyamatba.

A GDPR rendelettel számos hazai szakmai fórum foglalkozik, a rendelet szövegének megismerésével, feldolgozásával és bevezetésével kapcsolatos események, tanfolyamok sora várja az érdeklődőket. A rendelet hivatalos weboldala: http://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A32016R0679, ezen elérhető a rendelet szövege magyar nyelven is.•

 
Innotéka