A személyes adatok kezelése kapcsán az egyik legérzékenyebb téma az incidensek kezelése. Az adatvédelmi incidenst minden adatkezelő szeretné elkerülni, hiszen komoly anyagi és reputációs kockázatot is hordoz magában. Ha azonban bekövetkezik az incidens, akkor kiemelten fontos, hogy megfelelő eszközökkel és hatékonyan kezelje az adatkezelő az incidenst és minimalizálja az esetleges negatív hatásokat. A NAIH bírságolási gyakorlata is mutatja, hogy a nem megfelelően kezelt incidens, jelentős összegű adatvédelmi bírság kiszabását is eredményezheti.
A 29-es Cikk szerinti Munkacsoport, a holland adatvédelmi hatóság, valamint az ír adatvédelmi hatóság iránymutatásai mellett, a spanyol hatóság (AEPD) is kiadta a maga útmutatóját az adatvédelmi incidensek kezeléséről. Az alábbiakban a spanyol hatóság útmutatóját mutatom be röviden. (Az adatvédelmi incidensek kezeléséről korábban itt is írtam.)
Az adatvédelmi incidensek kapcsán kiemelten fontos, hogy egy átfogó, az incidenskezelés minden elemére kiterjedő eszközrendszer álljon a adatkezelők rendelkezésére. Az incidenskezelés nem akkor kezdődik, amikor egy incidens bekövetkezik, illetve, amikor arról az adatkezelő tudomást szerez és nem akkor ér véget, amikor a hatóságnak bejelentésre kerül, hanem megfelelő folyamatoknak kell működniük az incidensek megelőzésétől kezdődően, az esetlegesen bekövetkező incidensek feltárásán, kezelésén, elemzésén, utókövetésén és a tapasztalatok levonásán át, egészen addig, hogy a tapasztalatokból építkezve megtörténjen a meglévő folyamatok javítása, módosítása.
1. Adatvédelmi incidens fogalma és a GDPR által meghatározott teendők
A GDPR-ban szereplő definíció szerint adatvédelmi incidensnek minősül "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi."
Az adatkezelőnek több feladat is van adatvédelmi incidens előfordulása esetén:
- ha az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően be kell jelenteni az illetékes felügyeleti hatóságnál;
- ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről;
- az adatkezelő nyilvántartja az adatvédelmi incidenseket.
2. Az incidensek kezelése: felderítés, azonosítás, besorolás
Az incidensek felderítése érdekében - függően a szervezet méretétől, működésétől - megfelelő mechanizmusokkal kell rendelkezni, amelyek szükség esetén mozgásba lendülnek és alkalmasak az incidensek beazonosítására. Az incidensek felderítésének belső és külső forrásai egyaránt fontosak. A belső források között lehetnek olyanok, mint a fizikai védelmi intézkedések (pl. belépés kontrollálása, elektronikus megfigyelőrendszerek, jogosultságkezelése), az informatikai rendszerek felől érkező jelzések (pl. vírusriasztás, szokatlan memórifelhasználás, hálózati anomáliák, rendellenességek, DLP eszközök logjainak elemzése stb.). A külső források között szerepelhetnek maguk az érintettek, szolgáltatók (pl. telekommunikációs szolgáltató), adatfeldolgozók, hatóságok stb.
A fenti forrásokból érkező információk elemzése, gyors feldolgozása nagy jelentőséggel bír annak érdekében, hogy az incidens beazonosítása rövid időn belül megtörténhessen. Az érzékelt biztonsági incidenseket abban az esetben is szükséges lehet rögzíteni, ha adott esetben adatvédelmi incidenssel nem járnak együtt, de a jövőre nézve hasznos információt biztosíthatnak a sérülékenységekkel kapcsolatban.
A besorolás kapcsán is számos tényezőt kell figyelembe venni: a fenyegetés típusa, a fenyegetés forrása (külső/belső), az érintett rendszerek és adatok besorolása, az érintett személyek kategóriái, érintett rendszerek száma, az incidens hatása az érintettekre és a szervezetre, az incidens bekövetkezésének módja, illetve eszköze.
Az incidensek jelenthetik a bizalmasság, az integritás, a rendelkezésre állás sérelmét, illetve akár ezek együttes sérelme is előfordulhat.
A bekövetkező incidensek kockázati besorolása is több tényezőtől függ, ezek közé tartozik:
- az érintett rendszerek biztonsági szintje,
- az érintett személyes adatok jellege, érzékenysége, kategóriái (pl. különleges adatok, pénzügyi, viselkedési adatok stb.),
- az érintett adatok olvashatósága (pl. titkosítás vagy álnevesítés alkalmazásra került-e),
- az adatok mennyisége,
- érintettek beazonosíthatósága,
- érintettekre gyakorolt hatás súlyossága,
- érintettek kategóriái (pl. kiszolgáltatott helyzetben lévő érintettek),
- érintettek száma,
- az adatkezelő jellegzetességei (pl. valamilyen közintézmény),
- az incidens hatásai, stb.
3. Az incidensek kezelése
Az információk begyűjtését és elemzését követően, történik az incidens azonosítása és annak rögzítése, hogy valóban adatvédelmi incidens történt-e (vagy pl, biztonsági incidensre került sor, de személyes adatot nem érintett). Ezt követően sor kerülhet az incidens kivizsgálására, majd ennek eredménye alapján, a válaszlépések megtétele következhet (pl. azonnali intézkedések a kockázatok minimalizálása érdekében). Az útmutató kézzelfogható tanácsokat tartalmaz az incidens informatikai kezelésével kapcsolatban is: a behatárolás, megoldás/megsemmisítés, helyreállítás felosztás mentén.
A kivizsgálást követően történhet meg az incidens hatósági bejelentése, illetve az érintettek tájékoztatása, ha szükséges. További szervezési és technikai intézkedés megtétele is indokolt lehet az incidens megfelelő kezelése érdekében.
Az elszámoltathatóság elvére is figyelemmel, gondoskodni kell a megfelelő dokumentálásról és az incidens nyilvántartásba vételéről is.
Az incidens közvetlen kezelését követően, vizsgálandó, hogy szükséges bármilyen folyamati vagy informatikai rendszert érintő változtatás, hogy a hasonló esetek a jövőben megelőzhetőek legyenek. A megfelelő intézkedések megtételét követően zárható le az incidenskezelési folyamat.
4. Szemléltető példa az incidensek értékelésére
Az útmutató 3. sz. melléklete külön figyelmet érdemel, mert példán keresztül szemlélteti az adatvédelmi incidensek értékelését abból a szempontól, hogy valószínűsíthetően kockázattal járnak-e, azaz indokolt-e a hatósági bejelentésük. A példában szereplő modell három paramétert vizsgál: nagyságrend, adatok típusa, hatás. Az egyes paramétereken belül különböző értékeket rendel az egyes kategóriákhoz (pl. a nagyságrenden belül az érintett rekordok száma alapján vagy az adatok típusa körében attól függően, hogy különleges vagy nem különleges adatról van-e szó). A valószínűsíthető kockázat pedig az alábbiak szerit kalkulálható:
Valószínűsíthető kockázat = Nagyságrend x Hatás x Adat típusa
A fentiek alapján egy lehetséges eljárásrend lehet az incidensek kezelése kapcsán, hogy mennyiségi és minőségi szempontok is értékelésre kerülnek, azaz egy előzetesen meghatározott érték felett az incidensek bejelentésre kerülnek a hatóságnak (mivel valószínűsíthetően kockázattal járnak) és szintén egy előzetesen meghatározott, az előzőnél valamivel magasabb érték esetén pedig az érintettek is értesítésre kerülnek (mivel e fölött valószínűsíthetően magas kockázattal járnak az incidensek), de a mennyiségi érték mellet figyelemmel a "minőségi" szempontokra is (azaz pl. különleges adatokra kiemelt figyelmet kell fordítani).
A spanyol hatóság által közzétett útmutató is hasznos segédeszköz lehet az adatkezelők számára a hatékony és a hatósági elvárásoknak is megfelelő incidenskezelési rendszer kialakítása és működtetése érdekében.