A 2016/679 EU rendelet (továbbiakban: GDPR) megjelenésével és hatályba lépével sok vállalkozás szembesült az adatbiztonsági követelmények teljesítésének nehézségeivel, különösen az informatikai rendszerek GDPR-kompatibilissé tétele körében. A beépített és alapértelmezett adatvédelem elvét szem előtt tartva a személyes adatok kezelésére használt elektronikus rendszerek tervezése és kialakítása során is körültekintően, az adatvédelmi követelményeket szem előtt tartva kell eljárni. Olyan eszközöket szükséges alkalmazni, amelyek garantálják az ezen rendszerekben kezelt személyes adatok megfelelő szintű védelmét. Az e célra alkalmas eszközök kiválasztása azonban nagy kihívást jelent, tekintettel arra, hogy számos körülményt, szempontot kell mérlegelni, és téves döntés esetén súlyos következményekkel, így különösen hatósági bírsággal kell számolni. Cikkünkben a személyes adatok kezelésére használt informatikai rendszerek GDPR megfelelősége szempontjából ismertetjük a releváns adatbiztonsági szabályokat, majd az adatvédelmi hatóság gyakorlatából vett két eset lényegi megállapításain keresztül emeljük ki azokat az alapvető intézkedéseket, amelyek alkalmazása elősegíti a GDPR adatbiztonsági követelményeinek való megfelelést, illetőleg a jogsértés és bírságkiszabás elkerülését.
1. GDPR releváns szabályai
A GDPR már az adatkezelési alapelvek között is utal az adatbiztonság kérdésére, amikor kimondja, hogy a személyes adatokat oly módon kell kezelni, hogy megfelelő technikai és/vagy szervezési intézkedések alkalmazásával biztosítva legyen azok megfelelő biztonsága, a jogosulatlan vagy jogellenes kezeléssel, véletlen elvesztéssel, megsemmisítéssel vagy károsodással szembeni védelmet is ideértve (GDPR 5. cikk (1) bek. f) pont). Hogyan értelmezhető mindez az informatikai adatbiztonság tekintetében? Pontosan milyen intézkedéseket vár el az uniós jogalkotó? E kérdések megválaszolásához a GDPR „Az adatkezelés biztonsága” cím alatt, a 32. cikkben ad kapaszkodót. Ehelyütt a lehetséges intézkedések példálózó felsorolása mellett azt szabályozza, hogy milyen szempontokat kell figyelembe venni az egyes intézkedések megválasztása során.
Szervezési intézkedés lehet például az adatbiztonsági elvárások teljesítését célzó belső szabályozások, protokollok megalkotása, míg a technikai intézkedések ezen szabályozások gyakorlati megvalósítását célozzák. Ilyen technikai intézkedés lehet különösen a személyes adatok álnevesítése, titkosítása, továbbá biztonsági másolatok készítése és tárolása annak érdekében, hogy a személyes adatokat fizikai vagy műszaki incidens esetén rövid időn belül vissza lehessen állítani. A GDPR alapján ilyen intézkedés lehet továbbá az alkalmazott biztonsági megoldások hatékonyságának rendszeres tesztelése, felmérése és értékelése is. Azt, hogy az adatkezelő (ill. adatfeldolgozó) pontosan milyen technikai intézkedéseket, – informatikai rendszerekben tárolt személyes adatok esetén – milyen informatikai eszközöket alkalmazzon, milyen szintű védelmet biztosítson, több szempont együttes figyelembevételével szükséges eldönteni. Ez nem könnyű feladat, annak ellenére sem, hogy a GDPR meghatározza az értékelendő szempontokat.
Az adatbiztonságot célzó intézkedések és azok szintjének megválasztása során egyrészt azokat a kockázatokat kell figyelembe venni, amelyek a kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. Ilyen kockázat lehet például az, hogy a jogosultalan hozzáférés – a kezelt adatok köre alapján – személyazonosság lopást tehet lehetővé, vagy pénzügyi veszteséghez, jóhírnév sérelméhez stb. vezethet. Ezen túlmenően értékelni szükséges az adatkezelés jellegét, hatókörét, körülményeit (különösen pl.: az érintettek számát, a kezelt adatok mennyiségét) és céljait is. Fontos továbbá, hogy az alkalmazott technikai intézkedés, informatikai megoldás nem lehet elavult, meg kell felelnie a tudomány és technológia aktuális állásának. Mindezek mellett a megvalósítás költségeit is mérlegelni szükséges; az informatikai fejlesztések, új biztonsági rendszerek bevezetése jellemzően jelentős forrásokat igényel, így az adatkezelők (ill. adatfeldolgozók) pénzügyi lehetőségeit, korlátait is figyelembe kell venni az adatbiztonsági intézkedésekről való döntéshozatal során.
2. Vizsgált esetek
A fentiek gyakorlati alkalmazását (ill. annak hiányát) a következőkben a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: Hatóság) határozataiban tett megállapításain keresztül mutatjuk be. Az elmúlt évekből két olyan – bírságot kiszabó – határozatot vizsgálunk, melyekben a Hatóság elmarasztaló döntését alapvetően informatikai adatbiztonsági hiányosságokra alapozta. A Hatóság megállapításai közül – a teljesség igénye nélkül – a legfontosabbakat emeljük ki.
Az első vizsgált ügyben az adatkezelő webes időpontfoglaló rendszerében tárolt ügyféladatok bárki számára hozzáférhetővé váltak. Az informatikai rendszerben fennálló sérülékenység abból adódóan valósulhatott meg, hogy az adatkezelő a szerverén nem megfelelő konfigurációs beállításokat alkalmazott. Emiatt a szerver illetéktelenek számára is megjelenítette a weboldalon található könyvtárszerkezetet, és az ott tárolt személyes adatokat tartalmazó dokumentumokat bárki letölthette. Az adatkezelő maga nem észlelte a sérülékenységet, mert annak feltárására nem alkalmazott megfelelő eszközöket; naplózási rendszere nem volt alkalmas a külső hozzáférések kimutatására. Körülbelül 9000 természetes személy mintegy 15 000 személyes adata volt érintett, amely adatok között jelentős számú különleges adat is volt. Ezen adatokhoz való jogosulatlan hozzáférés jellemzően negatívan befolyásolja az érintett személy jó hírnevét, magán- és családi életét, de akár hátrányos megkülönböztetést is eredményezhet. A Hatóság határozatában megállapította és súlyosbító körülményként vette figyelembe – az érintett személyek és adatok nagy számán kívül – azt, hogy a különleges adatokat is érintő adatkezelés során az adatkezelő a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott. Naplózási rendszere képtelen volt a jogtalan hozzáférések észlelésére és a fent hivatkozott konfigurációs hiba/hiányosság jelentős számú – különleges adatokat is magában foglaló – személyes adathoz való illetéktelen hozzáférésre adott lehetőséget. A Hatóság – különösen a fenti hiányosságok súlyosságának és az adatkezelő árbevételének mérlegelésével – több, mint 7 millió Ft bírságot szabott ki (NAIH/2020/952/). Mindezeket figyelembe véve az adatvédelmi incidens, így a bírság kiszabása az adatbiztonsági szempontok előtérbe helyezésével, megfelelő technikai intézkedések alkalmazásával, azaz különösen a webszerver beállításainak rendszeres ellenőrzésével, továbbá megfelelő naplózási rendszer alkalmazásával nagy valószínűséggel elkerülhető lett volna.
Az általunk vizsgált második esetben a Hatóság az egyik távközlési céggel, mint adatkezelővel szemben az eddigi legmagasabb összegű bírságát szabta ki. Az adatkezelő honlapján található sérülékenység okán hozzá lehetett férni az adatkezelő ügyfelei személyes adatait tartalmazó tesztadatbázishoz, ill. ezen keresztül egy másik, a hírlevélre feliratkozók személyes adatait tartalmazó adatbázishoz is. Az adatok köre alapján a jogosultalan hozzáférés felvetette a személyazonosság-lopás, ill. a személyazonossággal való visszaélés, mint hátrányos következmény lehetőségét is. Az adatvédelmi incidens jelentős számú személyes adatot érintett. Az incidenst az adatkezelő ez esetben sem észlelte (pl.: hálózatbiztonsági eszköz jelzése alapján); hanem külső jelzés alapján szerzett róla tudomást. A Hatóság vizsgálata során kiderült, hogy bár az adatkezelő rendszeresen végzett sérülékenységvizsgálatot, azt nem terjesztette ki a honlapjára, ezért nem került sor a hiba detektálására. A Hatóság megállapította, hogy a jogosulatlan hozzáférést lehetővé tevő hiba oka az volt, hogy az adatkezelő által használt informatikai tartalomkezelő rendszerben volt egy biztonsági rés, amely korábban felfedezhető lett volna, mivel már több, mint 9 éve ismert volt a szakmában és rendelkezésre állt hozzá egy javítócsomag is, amit azonban az adatkezelő korábban nem telepített. Az incidenssel érintett személyes adatok nem kerültek titkosításra, annak ellenére, hogy ezen intézkedés alkalmazását az adatkezelő belső szabályzata is tartalmazta. A fentiek alapján a Hatóság megállapította, hogy az adatkezelő nem tette meg a GDPR rendelkezései által elvárt, szükséges adatvédelmi intézkedéseket. A bírság kiszabásánál súlyosbító körülményként vette figyelembe különösen azt, hogy az adatvédelmi incidens olyan adatbiztonsági hiányosságra volt visszavezethető, amelyre a piacon régóta elérhető volt az (ingyenes) informatikai javítócsomag, és amelyet az adatkezelő elmulasztott telepíteni. Ezen kívül ilyen körülményként értékelte az érintett személyes adatok titkosításának és ezzel kapcsolatos kockázatok felmérésének hiányát is. A bírság igen magas összegét a Hatóság többek között azzal is indokolta, hogy az adatkezelő jelentős piaci pozíciója alapján fokozottan elvárható volt tőle a megfelelő adatbiztonsági intézkedések (például a biztonsági rés detektálása és javítása, titkosítás) alkalmazása, amelynek nem tett eleget (NAIH/2020/1160/10). A Hatóság – az adatkezelő árbevételét is figyelembe véve – 100 millió Ft összegű bírságot szabott ki. Az adatvédelmi incidens és a bírság kiszabása ugyanakkor ez esetben is elkerülhető lett volna körültekintő eljárással, így különösen a sérülékenységvizsgálat honlapra való kiterjesztésével, és az adatkezelő által használt szoftverhez kiadott valamennyi releváns javítócsomag telepítésével.
A fenti két eset bár az adatkezelők méretét, piaci pozícióját, a kezelt személyes adatok körét és mennyiségét tekintve jelentősen eltér egymástól, mégis sok hasonlóságot mutat. Az adatkezelők mindkét esetben külső jelzés útján értesültek az adatvédelmi incidenseket okozó és rendszereiket érintő biztonsági résről, azaz mindkét adatkezelő elmulasztotta az esetleges hibák feltárását lehetővé tevő rendszeres monitorozást, továbbá nem megfelelően választották meg a technikai intézkedéseket, vagy azokat nem, ill. nem megfelelően alkalmazták. Ezért a jogsértés elkerüléséhez egyrészt javasolt nagy hangsúlyt fektetni a személyes adatok kezelésére használt informatikai rendszerek adatbiztonsági vizsgálatára, rendszeres sérülékenységvizsgálatára. Másrészt javasolt folyamatosan figyelemmel kísérni a technológiai fejlődést, és az adatkezelés körülményeit mérlegelve – a pénzügyi lehetőségekhez is mérten – naprakész technikai eszközöket, intézkedéseket alkalmazni az adatbiztonsági követelményeknek való megfelelés érdekében.
dr. Erőss Tamás
dr. Illisics Beáta
A jelen bejegyzésben szereplő tartalom nem minősül jogi, illetve adótanácsadásnak és nem hoz létre megbízási szerződést. Minden esetben szükséges az adott ügy egyedi, részletes ismerete annak megítéléséhez és a személyre szabott megoldás megtalálásához. Kérdés esetén keressen minket bizalommal a http://www.bekespartners.com/ weboldalon található elérhetőségeken!
