Az ír adatvédelmi hatóság az utóbbi időszakban több, a GDPR alkalmazása során felmerülő kérdéshez kapcsolódó iránymutatást tett közzé. Az iránymutatások segítik - többek között - az adatvédelmi incidensek kezelését, a hatásvizsgálatok elvégzését, az érintettek hozzáférési jogának gyakorlását, valamint felhőszolgáltatások igénybevételét.
Az alábbiakban a fenti témákban született iránymutatások legfontosabb elemeit foglalom össze.
1. Adatvédelmi incidensek kezelése
Az adatvédelmi incidensek kezelése kapcsán augusztusban egy rövidebb, az incidenskezeléssel kapcsolatos legfontosabb információkat összefoglaló anyagot már közzétett az ír hatóság, ezt követte októberben egy részletesebb, számos esettanulmánnyal is kibővített praktikus útmutató. Az októberi útmutató a GDPR első évéből származó adatok elemzésén alapul. A közzétett adatok alapján a GDPR első évében (2018. május 25-től) az ír hatósághoz (DPC) 5,818 incidensbejelentés érkezett. A DPC hangsúlyozta, hogy a bejelentések 13%-a esetén tapasztalta, miszerint azok a GDPR-ban meghatározott időtartamon túl kerültek bejelentésre. Az adatokból egyébként az rajzolódik ki, hogy az incidensek túlnyomó többsége (83%) jogosulatlan hozzáféréshez kapcsolódik. Az incidensek 7%-a tekinthető kiberbiztonsági incidensnek, míg személyes adatokat tartalmazó eszközök, illetve dokumentumok elvesztése vagy ellopása is észrevehetően megjelennek a statisztikában, mint az incidensek tipikus példái (2, illetve 5%).
Az októberi útmutató az alábbi fontosabb információkat tartalmazza:
- incidensek meghatározása,
- adatkezelők kötelezettségei az incidenskezeléssel kapcsolatban,
- esettanulmányok az incidenskezelés során felmerülő tipikus kérdésekre vonatkozóan.
Az incidensek kezelésével kapcsolatban a hatóság azt ajánlja az adatkezelők számára, hogy
a belső incidenskezelési eljárásuk részeként, rendelkezzenek olyan rendszerrel, amely rögzíti, hogy mikor és hogyan szereztek tudomást az adatvédelmi incidensről és miként értékelték az incidens jelentette kockázatokat.
A fenti információkat pedig - szintén a hatóság ajánlása szerint - érdemes a bejelentésben is szerepeltetniük az adatkezelőknek.
Komplexebb incidensek esetén az első bejelentés megtételével nem érdemes késlekedniük az adatkezelőknek, hiszen a GDPR kifejezetten biztosítja a szakaszos bejelentés lehetőségét (33. cikk (4) bekezdés), ugyanakkor a késedelmes bejelentés önmagában a GDPR megsértésének megállapításához vezethet. (Ezzel kapcsolatban érdemes figyelemmel lenni a NAIH gyakorlatára is, amely szintén nagy hangsúly fektet az időben történő incidensbejelentésre. Lásd például a NAIH/2019/2471 sz. ügyben hozott határozatot.) Ez megfelelően alkalmazandó az adatfeldolgozókra is, akiknek az adatkezelő felé kell az incidenst haladéktalanul bejelenteniük. A felek közötti szerződésben a kötelezettség részleteit meg kell határozni.
Érdemes az esettanulmányokat is alaposan átnézni, amelyek az alábbi témákat járják körül:
- kockázatok értékelése (kockázatok alá- és túlbecslése),
- incidensek késedelmes bejelentése, vagy bejelentés elmulasztása,
- nem megfelelő bejelentés,
- technikai ismeretek rendelkezésre állása,
- hasonló incidensek ismétlődése,
- pszichológiai manipuláció (social engineering),
- adatok pontossága.
Az incidensek jelentette kockázatok értékelése kapcsán az adatkezelőknek, többek között, de nem kizárólag, az alábbi szempontokat javasolt mérlegelniük:
- a személyes adatok típusa és jellege (beleértve, hogy érzékeny, esetleg különleges adat érintett-e),
- az incidens körülményei,
- megfelelő védelmi intézkedések (pl. titkosítás vagy álnevesítés) alkalmazásra kerültek-e,
- az érintettek közvetlen vagy közvetett azonosíthatósága mennyire egyszerű az incidens kapcsán,
- az álnevesítés "visszafordíthatóságának" valószínűsége, a bizalmasság sérülése,
- a személyazonossággal való visszaélés, pénzügyi veszteség vagy a személyes adatokkal való egyéb visszaélés valószínűsége,
- a személyes adat rosszhiszemű felhasználásának lehetősége, illetve valószínűsége,
- a károsodás (vagyoni és nem vagyoni) bekövetkezésének valószínűsége és súlyossága, valamint
- az incidens járhat-e hátrányos megkülönböztetéssel, a jóhírnév sérelmével, vagy az érintett egyéb alapvető jogainak megsértésével.
Abban az esetben, ha az adatkezelő az értékelés alapján arra jut, hogy az incidens valószínűsíthetően kockázatot jelent az érintettre nézve (azaz be kell jelenteni a hatóságnak), ezt követően egy újabb, különálló értékelés keretében kell vizsgálni, hogy az érintettek tájékoztatásra szükség van-e, azaz az incidens valószínűsíthetően magas kockázattal jár-e az érintettekre.
A bejelentések időbelisége kapcsán azon adatkezelőknél, ahol sorozatban tapasztalható késedelem, szükséges lehet az incidenskezelési folyamat felülvizsgálata, mivel az ismétlődő késedelem valamilyen hiányosságra utalhat.
Az adatkezelőknek megfelelő technikai ismeretekkel kell rendelkezniük az incidensek felismeréséhez és kezeléséhez. Ha ez nincs meg egy szervezeten belül (pl. egy kkv esetében), akkor azt külső szolgáltatótól kell igénybe venni, beleértve a szükséges képzéseket is.
Hasonló vagy ugyanolyan incidensek ismétlődése, különösen hosszabb időszakon keresztül, az adatkezelő részéről intézkedések megtételét, folyamatok, illetve belső szabályozás felülvizsgálatát teheti szükségessé.
Az incidensek (különösen a jogosulatlan hozzáféréssel járó esetek) jelentős része visszavezethető az adatkezelőnél meglévő adatbázis nem megfelelő minőségére (pontatlan, illetve validálatlan adatok). Éppen ezért fontos, hogy az adatkezelők megfelelő lépéseket tegyenek a kezelt adatok naprakészen és pontosan tartása érdekében.
2. Adatvédelmi hatásvizsgálatok végzése
Szintén októberben tette közzé a DPC az adatvédelmi hatásvizsgálatok végzésére vonatkozó iránymutatását. Az útmutató részletesen bemutatja a hatásvizsgálattal kapcsolatos jogszabályi követelményeket és legfontosabb szempontokat.
Néhány fontos megállapítás az útmutató alapján:
- a hatásvizsgálat elvégzésének komoly előnyei is lehetnek az adatkezelő szempontjából is,
- a beépített és alapértelmezett adatvédelem elveinek érvényesülését jelentősen elősegíti a megfelelően elvégzett hatásvizsgálat, lehetőség szerint az adatkezelés kialakításának minél korábbi fázisában,
- az ún. fekete listán szereplő adatkezelési tevékenységek kapcsán kötelező elvégezni (az ír hatóság fekete listáját lásd itt, míg a NAIH fekete listája elérhető itt),
- érdemes lehet az érintettek véleményét is kikérni a tervezett adatkezeléssel kapcsolatban (pl. egy kérdőív segítségével), illetve szükséges lehet annak a dokumentálása, ha az adatkezelő nem kéri ki az érintettek véleményét,
- ajánlott lehet egy kockázati nyilvántartás vezetése, amely a projektekhez kapcsolódó kockázatokat és azok bekövetkezésének valószínűségét tartalmazhatja és ennek segítségével a bekövetkező változások jól nyomon követhetők,
- jó gyakorlat lehet a hatásvizsgálatok közzététele, vagy legalább a főbb megállapítások publikálása.
3. Hozzáférési jog gyakorlása
A hozzáférési jog gyakorlásával kapcsolatos útmutató kiadásának indoka az volt, hogy az érintettektől ezzel kapcsolatban érkeztek elsősorban panaszok a hatósághoz. (Ez a téma máshol is napirendre került, például több német hatóság foglalkozott vele és a NAIH is több határozatban értelmezett a hozzáférési jog gyakorlásával kapcsolatos kérdéseket. A hozzáférési jog alakuló gyakorlatával ebben a posztban foglalkoztam korábban.)
Az útmutató a hozzáférési jog gyakorlása kapcsán felmerülő legtipikusabb kérdéseket veszi végig:
- Mikor terjeszthető elő ilyen kérelem?
- Milyen információkra vonatkozhat a kérelem?
- Milyen tág lehet a kérés?
- Írásban kell előterjeszteni a kérelmet?
- Meghatározott kapcsolattartó megjelölhető-e, akinek a hozzáférési igény küldhető?
- Milyen formaságokhoz kötött az érvényes hozzáférési igény?
- Mennyi idő áll az adatkezelő rendelkezésére a válaszadásra?
- Milyen formában kell az adatkezelőknek az információt rendelkezésre bocsátaniuk?
- Bármilyen más korlátja van-e a kérelem teljesítésének?
Bár az útmutatóban szereplő információk nagy része nem jelent újdonságot, jó áttekintést ad a legfontosabb kérdésekről és az adatkezelők tennivalóiról, illetve a rendelkezésre álló mozgástérről. Praktikus információként érdemes lehet kiemelni, hogy bár az érintettek jogait nem lehet korlátozni, de az adatkezelők kialakíthatnak olyan kereteket, amelyek segítik az igények kezelését (pl. meghatározott formanyomtatványok készítse, amelynek használata nem kötelező, de mindkét felet segítheti az alkalmazása; megfelelő kapcsolattartó megadása, amely szintén nem lehet kizárólagos, de segíthet a kérelmek gyors teljesítésében). Fontos az igénylők megfelelő azonosítása, mert az azonosítás elmulasztása akár adatvédelmi incidenshez is vezethet (jogosulatlan hozzáférés).
4. Felhőszolgáltatások igénybevétele
A felhőszolgáltatások igénybevétele kapcsán kiadott útmutató sem előzmény nélküli, mert korábban (júniusban) a felhő alapú megoldások biztonsági kérdései kapcsán már adott ki egy rövid tájékoztatót a DPC.
Az iránymutatás összefoglalja a felhőszolgáltatások igénybevétele kapcsán felmerülő legfontosabb kérdéseket az alábbi témák köré csoportosítva:
- adatbiztonsági kérdések,
- átláthatóság,
- adatkezelés a felhőszolgáltató, mint adatfeldolgozó által,
- EU-n kívüli adattovábbítás.
Adatbiztonsági szempontból az alábbi kérdések számítanak kulcsfontosságúnak:
- szükség esetén, az álnevesítésre és titkosításra való képesség megléte,
- az adatkezelő által a felhőszolgáltató, mint adatfeldolgozó részére továbbított adatok elkülönítése a szolgáltató egyéb ügyfelei részére kezelt adatoktól,
- a bizalmasság, integritás, rendelkezésre állás folyamatos biztosítására vonatkozó képesség, amely magában foglalja a megfelelő technikai és szervezési intézkedések meglétét,
- az adatok rendelkezésre állásának és a hozzáférésnek a helyreállítására való képesség incidens bekövetkezése esetén,
- a technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, értékelésére vonatkozó folyamatok megléte,
- adatvédelmi incidensek kezelésére vonatkozó folyamatok (incidenskezelési terv megléte, illetve az adatkezelő és adatfeldolgozó közötti megfelelő szerződéses rendelkezések),
- a szerződés megszűnése esetére az adatok törlésének vagy visszaadásának megfelelő eszközei.
A fentiek meglétét a szolgáltatást igénybe vevőnek mind a szerződés megkötése előtt, mind annak fennállása alatt vizsgálnia és ellenőriznie kell. Ez az ellenőrzés általában különböző kérdőívek, magatartási kódexek vagy tanúsítványok útján történhet, ugyanakkor egyes esetekben akár helyszíni vizsgálatokra is sor kerülhet.
Az útmutató további forrásokat is tartalmaz, amelyek további segítséget nyújtanak az adatkezelők számára a felhő alapú szolgáltatások igénybevétele során az adatvédelmi megfelelőség biztosítása érdekében.