Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
December 3-án rendezték meg a Mezzo Music Restaurantban a negyedik adatvédelmi reggelit, amelyen az ARB Privacy Consulting Kft. ügyvezetője dr. Révész Balázs mellett, dr. Majsa Ágnes a Nemzeti Adatvédelmi és Információszabadság Hatóság Engedélyezési és Incidensbejelentési Főosztályának vizsgálója, valamint Szöllősi Tibor a LegalITLab Kft. ügyvezetője tartott előadást.
A rendezvényt dr. Révész Balázs szenior adatvédelmi tanácsadó nyitotta meg, aki felelevenítette, hogy a reggelik tematikája a Magyarázat a GDPR-ról című, a Wolters Kluwer Kiadó gondozásában megjelent, kiadvány fejezeteit követi és jól összefoglalja a tudnivalókat.
Ezt követően értékelte a NAIH nemrég közzétett, a Magyar Honvédség Egészségügyi Központjánál (MHEK) lefolytatott vizsgálat eredményeit összefoglaló határozatát. (Az MHEK 2,5 millió forintos bírságot kapott, mert vélhetően egy munkavállalójuk kiszivárogtatta egy politikus különleges személyes adatait – a szerk.).
Szerinte a NAIH fenti határozata nagyon kiterjeszti az incidens fogalmát és azt is az adatkezelő felelősségeként értékeli, ha egy rosszindulatú munkavállaló -feltehetően – szándékosan kicsempész egy iratot.
Lehetséges, hogy a szervezet mindent megtesz az adatbiztonsági követelmények betartásáért, de az sem mindig elegendő a rosszindulatú munkavállaló jogellenes magatartásának megakadályozásához.
Az adatbiztonság sérülését szűkebben kellene tehát, értelmezni, mert az incidens fogalmának kiterjesztése nagyon messzire vezet. Ilyen tág értelmezés mellett, szinte minden problémát incidensnek tekinthetünk, amelyeket jelenteni kell a hatóságnak. Ha nem jelenti a szervezet, vagy csak a hatósági eljárás alatt, akkor bírságra számíthat.
Dr. Révész Balázs egy másik érdekes esetet is említett. Ebben az ügyben a berlini adatvédelmi hatóság 14 millió euró bírságot szabott ki egy ingatlankezelőre, amely a bérlők olyan személyes adatait is tárolta, mint a fizetési képesség, vagyoni helyzet, illetve amelyeket a jogviszony megszűnésére tekintettel már rég törölni kellett volna. A bírság azért is volt ilyen magas, mert a GDPR rendelkezéseinek megfelelően az adatkezelő árbevételéhez igazodott.
Dr. Révész Balázs reményének adott hangot atekintetben, hogy az adatvédelmi hatóságok nem fognak majd egymásra licitálni a kiszabott bírságokkal. Szerinte ezt a legkönnyebben úgy lehetne elérni, ha a gyakorlatban egységesen érvényesítenék a bírságolási szempontokat, és figyelembe vennék a tagállamok gazdasági fejlettsége közötti különbségeket is.
A bevezetőt dr. Majsa Ágnes előadása követte. A NAIH Engedélyezési és Incidensbejelentési Főosztályának vizsgálója, amely az érkező incidensbejelentések feldolgozása mellett a harmadik országokba irányuló adattovábbítások engedélyezési eljárásával is foglalkozik, de megemlítette, hogy a GDPR hatálybalépése óta még nem került sor ilyenre. A főosztály feladata még az előzetes konzultáció, a hatásvizsgálatok elvégzése, illetve a tanúsítási szempontok engedélyezése is.
Dr. Majsa Ágnes elmondta, hogy a harmadik országba történő adattovábbítással kapcsolatban a főosztály elsősorban konzultációs megkereséseket kap. Az érintettek is érdeklődnek, de a konzultációt főleg az adatkezelők kezdeményezik. Tapasztalata szerint a NAIH-hoz forduló adatkezelők többségében nem ismerik az irányadó szabályokat ebben a témakörben.
Dr. Majsa Ágnes munkája során az adattovábbítással is foglalkozik, az Európai Adatvédelmi Testület (Testület) csoportjában is többször képviselte a NAIH-ot.
A Testület nemzetközi adattovábbítással foglalkozó alcsoportja körülbelül kéthavonta ülésezik és elsősorban a kötelező erejű vállalati szabályok (BCR) jóváhagyásával, valamint a harmadik országba történő adattovábbítás egyes kérdéseivel kapcsolatos iránymutatások kidolgozásával foglalkozik, amelyek különböző fázisban vannak.
Az adattovábbításra térve kifejtette, hogy a GDPR V. fejezete részletesen szabályozza a külföldi adattovábbítást. A GDPR-ban meghatározott feltételek teljesítésének célja, hogy ne sérüljön az adatok védelmének szintje, ha azokat harmadik országba továbbítják.
A harmadik országokba való adattovábbítás korábban tagállami hatáskörbe tartozott, de az adatvédelmi irányelv rendelkezéseit is figyelembe kellett venni.
Véleménye szerint, fontos a tagállamok adatvédelmi hatóságainak együttműködése, mert a GDPR általában egységességi mechanizmus alkalmazását írja elő.
A tagállami hatóságok feladata, hogy ha bejelentés érkezik, akkor vizsgálati vagy hatósági eljárást folytassanak le. De szerinte nem túl gyakori az ilyen bejelentés a harmadik országba történő adattovábbítás területén, mert az érintettek nem nagyon vannak tisztában vele, hogy adataikat harmadik országba is továbbítják, annak ellenére, hogy a GDPR előírja az előzetes tájékoztatási kötelezettséget az adatkezelő számára. Éppen ezért ebben a témában kevés panasz érkezik a NAIH-hoz, így eljárás sem jellemző. Ez az EU-ban is hasonló tendenciát mutat.
A harmadik országba való adattovábbításhoz a GDPR szerint többletkövetelményeket kell teljesíteni. Az adattovábbításra sor kerülhet, ha a címzett olyan országban található, amellyel kapcsolatban ún. megfelelőségi határozat van érvényben. Ilyen határozat meghozatalakor az Európai Bizottság azt vizsgálja, hogy címzett letelepedése szerinti ország megfelelő védelmi szintet biztosít-e.
A hosszas eljárás alatt megvizsgálják többek között az adott ország adatvédelmi jogszabályait, azok bírósági kikényszeríthetőségét, a jogállamiság állapotát, illetve, hogy van-e független hatóság.
A döntés meghozatala előtt a Bizottságnak ki kell kérnie a Testület véleményét, amelynek kialakításában a NAIH is részt vesz. A harmadik országra vonatkozó engedélyt a Bizottság köteles rendszeresen felülvizsgálni.
A Testület a plenáris ülésén választja ki az alcsoportot, amelyik foglalkozik az üggyel.
A GDPR hatályba lépése óta Japán az egyetlen ország, amelynél a megfelelő védelmi szintet megállapították, de az irányelv hatálya alatti megállapítások érvényben maradtak, így USA (Adatvédelmi Pajzs), Kanada, Argentína és Izrael is biztonságos harmadik országnak minősül adatvédelmi szempontból.
Az USA Adatvédelmi Pajzsát ismertetve elmondta, hogy az Adatvédelmi Pajzs lényege, hogy csak akkor biztonságos az adattovábbítás, ha az az amerikai hatóságok általi tanúsítással rendelkező szervezet részére történik. Nemrég zajlott le az Adatvédelmi Pajzs harmadik felülvizsgálata, amelyben dr. Majsa Ágnes képviselte a NAIH-ot.
Az eu-s delegáció, a Bizottság és Testület képviselőiből, az EU amerikai képviseletének tagjaiból és amerikai hatóságok, főleg a kereskedelmi minisztérium képviselőiből áll.
A résztvevők előre kapnak egy kérdéssort, majd az ülésen végigmennek a válaszokon.
Az első napon értékelik, hogy milyen tapasztalatokkal működik az Adatvédelmi Pajzs, van-e módosításra szükség.
A második napon a fő téma az amerikai nemzetbiztonsági szolgálatok adatokhoz való hozzáférése volt, illetve az, hogy az érintettnek van-e lehetősége arra, hogy tudomást szerezzen vagy kifogással éljen az adatszerzés ellen.
Az USA egyik érve ezzel kapcsolatban, hogy nem nagyon érkezik panasz európai érintettektől, ezért nem tesztelik igazán a rendszert.
Az ülésekkel kapcsolatban a legnagyobb munka a jelentés elkészítése. Az ülésekről a Bizottság és a Testület is külön jelentést hoz.
A GDPR szerint, ha a címzett országra vonatkozóan nincs megfelelőségi határozat, vagy Adatvédelmi Pajzs, akkor az adatkezelőnek kell megfelelő garanciákat biztosítania, a GPDR által megnevezett eszközökkel, amelyek közül több alkalmazásához is engedély kell.
Engedélyköteles eszközök például a szerződéses rendelkezések, illetve a közfeladatot vagy közhatalmat ellátó szervek által alkalmazott szerződéses rendelkezések. Engedély nélkül nyújtanak megfelelő garanciákat a modellszerződések, a jóváhagyott BCR-ok, valamint a jóváhagyott magatartási kódex és tanúsítási mechanizmus.
A magyarországi érintettek esetében a NAIH folytatja le az engedélyezési eljárást, de a BCR-ek esetében ezt a cég központja vagy más szempont alapján kijelölt vezető adatvédelmi hatósági teszi meg.
Dr. Majsa Ágnes elmondása szerint a GDPR hatálybalépése óta, ilyen engedélyezési eljárásra még nem került sor, de BCR-ek véleményezésében, észrevételezésében, érintett hatóságként részt vettek.
A BCR-okra kitérve a vizsgáló röviden összefoglalta, hogy ez elsősorban a multik és vállalkozáscsoportok által alkalmazott eszköz, amely a csoport minden tagjára, így a harmadik országban lévőkre is kötelező, ezért nekik is ugyanazokat a szabályokat kell alkalmazni mint az EU-s tagállamban székhellyel rendelkező csoporttagoknak. A BCR a vállalatcsoporton belüli, egymás közötti, adattovábbításra vonatkozik. A tartalmi követelményeket a WP29 Munkacsoport határozta meg és a Testület is átvette ezeket, de fontos, hogy folyamatosan frissíteni kell, a változásokat át kell vezetni, mert a gyakorlatban derülnek ki a hiányosságok.
A modellszerződésekkel kapcsolatban elmondta, hogy azokat a Bizottság még a GDPR hatálybalépése előtt, határozatban fogadta el, azóta újakat még nem hozott, annak ellenére, hogy szükség lenne az aktualizálásukra.
Majsa Ágnes megemlítette, hogy az EUB előtt már volt előzetes döntéshozatal iránti eljárás a modellszerződésekkel kapcsolatban, egy pedig Schrems 2 néven jelenleg is folyamatban van. Max Schrems azért indított pert, hogy az EUB kimondja a modellszerződéseket elfogadó bizottsági határozatok érvénytelenségét. Az ügyben a közeljövőben várható döntés. Érdekes kérdés, hogy az EUB érvénytelenné nyilvánítja-e a határozatokat, de a GDPR tükrében ezek már amúgy is elavultnak tekinthetők, mert nem tartalmaznak a 28. cikkben foglalt minden lényeges elemet.
A kódexszel és a tanúsítással kapcsolatban, folyamatban van egy iránymutatás kidolgozása a Testületnél – említette avizsgáló asszony.
Az irányadó szabályok szerint a kódex csak akkor lehet megfelelő eszköz, ha a Bizottság által ilyennek ismerik el. Egy nemzeti kódex nem lehet ilyen, mert a kódex csak a határon átnyúló adattovábbítások esetén lehet általános érvényű.
A tanúsítási mechanizmusnál kérdés, hogy mi lesz a tárgya, mit lehet megfelelő garanciának tekinteni.
Ezen eszközök jogszerű használatához szükséges, hogy a harmadik országbeli adatfeldolgozó vállalja, hogy ezeket alkalmazni fogja.
Ha a megfelelő garanciák nem teremthetők meg, akkor már csak a kivételes jogalapok szerint lehet a személyes adatokat harmadik országba továbbítani. Ilyenek például az érintett hozzájárulása, a szerződéses kötelezettség teljesítése, illetve a jogi igény érvényesítése, de ezek csak kivételes esetekben alkalmazandók. Sőt a GDPR preambuluma leírja, hogy mely esetekben nem alkalmazhatók. Például tömeges adattovábbításra nem lehet alkalmazni, de a Testület azokra is értelmezi, ahol ezt a GDPR nem mondja ki.
Az adatkezelőnek a harmadik országba történő adattovábbításkor érdemes önellenőrző listát készítenie, amelyben mérlegelnie kell, hogy szükséges-e egyáltalán a személyes adatok továbbítása, van-e megfelelő határozat, vagy az USA esetében az adatfogadó megfelelő tanúsítással rendelkezik-e, ha nincs ilyen, akkor az adattovábbító tud-e megfelelő garanciákat teremteni, legvégül pedig, ha az előbbiek közül egy sem áll fenn, akkor van-e valamilyen kivételes jogalap alapján lehetséges-e továbbítani az adatokat.
Dr. Majsa Ágnest Szöllősi Tibor: A személyes adatok harmadik országba történő továbbításának adatbiztonsági aspektusairól tartott előadást.
A LegalITLab Kft. alapító tagja adatvédelemmel, információbiztonsággal és IT biztonsággal foglalkozik. Véleménye szerint, ha az adatkezelők kicsit jobban odafigyelnek, akkor már komoly előrelépéseket tudnak megvalósítani, komolyabb beruházás nélkül.
Példaként említette a lengyel adatvédelmi hatóság döntését, amely átszámítva 200 millió forintra bírságolt egy online webshopot, mert egy hackertámadással az online kereskedéstől 2,2 millió ember személyes adatát szerezték meg, amelyből 35.000 embernél a hitelkérelméhez kapcsolódó, családi állapotra és egy főre jutó jövedelemre vonatkozó különleges személyes adatok is kiszivárogtak.
Szöllősi Tibor elmondta, hogy informatikai szempontból az tekinthető adattovábbításnak, ha az adat A-ból B-be megy és a célország EU-n kívüli harmadik ország.
Adattranzitról beszélünk, ha EU országba továbbítjuk az adatokat, de azok harmadik ország szerverén mennek keresztül, viszont ott nem történik érdemi művelet az adatokkal.
A felhő alapú szolgáltatásokkal kapcsolatban az informatikai szakértő felhívta a figyelmet az adatvédelmi hatóságok és az MNB ajánlásaira. Az MNB olyan szempontokat vizsgált, mint például az informatikai kockázatok, az adatok visszaállíthatóságára vonatkozó terv, illetve, hogy mi történik az adatokkal, ha a szervezet megszűnik. A szakértő szerint lehet megfelelően használni a felhőt, de komoly IT alapú vizsgálatot kell lefolytatni. Vizsgálni kell, hogy az adat az eu-s cég szerverein marad-e, vagy kijut harmadik országba.
Szöllősi Tibor szerint az adatbiztonságban kiemelt szerepe van a határvédelmi és vírusvédelmi eszközöknek, mint például a tűzfal vagy a megfelelő vírusirtó alkalmazásának.
Az adatokat kezelő cégeknek olyan rendszereket kell kialakítaniuk, amelyek megfelelő adatbiztonságot garantálnak és a rendszer stabilitását saját tesztmechanizmussal kell rendszeresen ellenőrizni.
Tapasztalata szerint az adatkezelők egyre jobban törekszenek a tudatosságra. Többségük azonban nem tudja, hogy hol tart az adatkezelésre, adattovábbításra vonatkozó rendelkezések teljesítése tekintetében. Sokszor sajnos a kényelem felülírja az adatvédelmet és ilyenkor már kicsi ráfordítással ki lehetne venni az adatokat.
Jellemző hibaként említette, hogy általában minden adatot anonimizálás nélkül továbbítjuk jobb esetben céges levelezőrendszeren, de gyakori, hogy a vállalati vagy a privát e-mail fiókot is titkosítás nélkül használják.
Szerinte csak akkor lehet eredményt elérni, ha az adatvédelem menedzsment szinten tudatosul.
Az adatok továbbításánál biztonsági szempontból azt kell mérlegelni, hogy szükséges-e az adatok továbbítása, ha igen, akkor elég-e például az anonimizálás.
Szöllősi Tibor szerint ma a vállalatalapításnál és az üzletmenetnél elengedhetetlen a megfelelő informatikai háttér, a naprakészség. Az általa leggyakrabban tapasztalt problémák, a régi szerverek és operációs rendszerek használata, amelyeket nem frissítenek, az interneten pedig elérhetők a régebbi keretrendszerek sérülékenységei, így ezek a rendszerek könnyen feltörhetők.
Ajánlja, hogy a szervezetek, titkosított protokollokon kommunikáljanak egymással, a belső vállalati szerveren működjön az adattovábbítás, naplózzák azt, legyenek nyomonkövethetők az adatok és a dolgozók tevékenysége, legyen rendszeres sérülékenység vizsgálat, a továbbított adatállományokat titkosítsák és a feloldókulcsot külön e-mailben vagy SMS-ben küldjék el. Mindemellett kiemelt figyelmet kell fordítani a munkatársak képzésére és az alaptudatosság kialakítására.
Szöllősi Tibor előadását a résztvevők kerekasztalbeszélgetéssel folytatták.
Az adatbiztonsági követelményeket a résztvevők szerint a NAIH még a WP29-hez képest is megszorítóan értelmezi. Elismerték, hogy fontos az IT biztonsági előírások betartása, de a GDPR 32. cikke amúgy is kötelezettségként írja elő a legmodernebb technológiák alkalmazását.
Szöllősi Tibor szerint alapelv a kockázattal arányos technológiák alkalmazása. Kiemelte, hogy IT biztonsági szempontból kockázatosnak minősül, ha a valaki gyártói támogatást nem élvező, sérülékenységeknek kitett rendszert alkalmaz, amely ellen bárki tud tenni és tenni is kell. Nem szükséges aránytalanul nagy beruházásokkal védeni az adatokat, de az elavultság kiküszöbölése alapkövetelmény.
Dr. Majsa Ágnes szerint a NAIH-nak nincsenek irreális elvárásai az adatbiztonsággal kapcsolatban, de nem elfogadható, hogy nincsen belső szabályzat az adatvédelmi incidensek kezelésére, illetve az eddigi ügyekben (MHEK, Demokratikus Koalíció) nagyon alacsony szintű volt az adatbiztonsági tudatosság.
A NAIH mindig figyelembe veszi a kockázatarányos megközelítést.
Dr. Révész Balázs szenior adatvédelmi tanácsadó elmondta, hogy az adatkezelőnek követnie kell a technológia állását, mert az információbiztonság elhanyagolása a hackereknek is kiváló lehetőség.
A NAIH megfontolt és mérsékelt bírságpolitikát alkalmaz ugyan, de lehet úgy is érvényesíteni az adatvédelmi előírásokat, ha nem bírságokkal kényszerítjük ki azt. Érdemes figyelembe venni azt is, hogy a bírságok elsődleges szerepe a visszatartó erő, de egyben olyan szektorokat is indukálnak (például a hackerek), amelyek visszaélnek a nagy bírságok kiszabásának lehetőségével.
Felhívta a figyelmet arra, hogy az adatbiztonság által kiszabott bírságok egyben üzletet is generálnak a hackereknek, hiszen szerepük felértékelődik. Másrészről az adatvédelmi technológiák a hackerek által is fejlődnek, hiszen ténykedésük „eredménye” beépül az adatbiztonsági rendszerekbe. Ezért is juthat kiemelt szerep az etikus hackereknek.
Szöllősi Tibor szerint a felhő alapú szolgáltatások megjelenésekor a nagy cégek is vizsgálták a bevezetést, a tesztelésnél nem szerepeltek jól, de ma már ők is ezeket használják. Kérdésre elmondta, hogy az IT biztonság alapjait, az ISO 27001 alapszabvány határozza meg.
Szerinte az EU nincs olyan technológiai szinten, hogy kiváltsa az USA technológiát, viszont adatvédelmi szinten sokkal előrébb tart. Érdekes kérdésnek tekinti, hogy mennyire öli meg az adatvédelem és az IT biztonság az innovációt?
Az önvezető autókra kitérve szerinte előre látható, hogy pár évtizeden belül megszűnik a jelenlegi KGFB rendszer, mert az autógyár lesz a biztosító és az önvezető szoftver lesz a felelős a biztonságos vezetésért. Ugyanakkor a robotok és az automatizmusok lesznek a legveszélyesebbek a terrorizmus szempontjából, ha meghackelhetők lesznek, akkor komoly biztonsági kockázatot jelentenek majd. Az területre specializálódó hackerek pedig külön szakmát képeznek majd a jövőben.
Dr. Majsa Ágnes kérdésre válaszolva kifejtette, hogy a BCR-okkal kapcsolatos újabb gyakorlati iránymutatás nem várható a közeljövőben, a GDPR szövege egyértelműen meghatározza, illetve a munkadokumentumokban is körüljárták. Általában adja magát a BCR-okkal kapcsolatos gyakorlat, fontos, hogy a cégek vagy a tagok között szoros legyen a kapcsolat. A szabályok alapján a központ kikényszeríthesse a kötelezettségvállalásokat. Az eddigi tapasztalatok alapján elsősorban a multik alkalmazzák.
Az adatkezelők közötti megállapodásokkal kapcsolatban kiemelte, hogy célonként érdemes megállapodni, a szerződésnek több melléklete legyen, pontosan be lehessen azonosítani, hogy melyik melléklet milyen adattovábbításra vonatkozik.
