A GDPR nagyobb hangsúlyt fektet az adatbiztonság területére, ami egyrészről megjelenik abban, hogy a jogszabály részletesebb, pontosabb szabályokat tartalmaz ezen a területen, másrészről olyan új intézményeket, kötelezettségeket vezet be, amelyek elősegítik az adatbiztonsághoz történő tudatosabb hozzáállást. Ez utóbbira példa az adatvédelmi incidensek bejelentésének, kezelésének a kötelezettsége. A jogalkotó az információbiztonság területén régóta ismert jó gyakorlatot illesztett bele az adatvédelmi rezsimbe. Ennek megfelelően az adatvédelmi incidensek azonosítása és kezelése támaszkodhat az információbiztonsági incidensek azonosításának és kezelésének gyakorlati tapasztalataira. Részletet közlünk a Wolters Kluwer Kft. gondozásában megjelent Magyarázat a GDPR-ról c. könyvből.

Az adatvédelmi incidensek azonosítása

Az adatkezelőnek ahhoz, hogy a GDPR-ban konkrétan megfogalmazott, az adatvédelmi incidensekhez kapcsolódó kötelezettségeket teljesíteni tudja, először azonosítania szükséges az adatvédelmi incidenseket. Ehhez elengedhetetlen feltétel az adatvédelmi incidensek GDPR-ban rögzített fogalmának részletes ismerete.

Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi (GDPR 4. cikk 12. pont).

Az említett fogalmi elemek jól ismert információbiztonsági szakkifejezéseket jelölnek, amelyek ismertetésére fentebb sor került.

Az adatvédelmi incidens fogalmának legfontosabb elemei, hogy személyes adatot érint, a biztonság sérüléséből adódik, megvalósul a fogalommeghatározásban szereplő valamelyik eredmény, valamint a biztonság sérülése és az eredmény között ok-okozati összefüggés áll fenn.

Az adatvédelmi incidensnek tehát a biztonság sérüléséből kell következnie. A biztonság fogalmára vonatkozóan általánosan elfogadott meghatározást nem találni, de a biztonságot definiálhatjuk olyan állapotként, amelynél a védelmi intézkedések a fenyegetések általi károkozás kockázatát elviselhető szintűre csökkentik. A GDPR fogalomrendszere az adatbiztonság fogalmát határozza meg, amely – ahogyan azt korábban már láttuk – a megfelelő technikai és szervezési intézkedések alkalmazását jelenti. Ebből adódóan a biztonság sérülése alapvetően háromféle módon valósulhat meg. Egyrészről a biztonság sérülése lehet a megfelelő technikai és szervezési intézkedés hiánya, például, ha különleges adatok tárolása során semmilyen titkosítást nem használ az adatkezelő. Másrészről a biztonság sérülése lehet, ha a megfelelő technikai és szervezési intézkedést nem vették figyelembe, például, ha az adatkezelő munkavállalója a belső szabályzat irányadó előírásait figyelmen kívül hagyva nem titkosított tárolón tárolja a különleges adatokat. Harmadrészről a biztonság sérülése az is, ha a technikai és szervezési intézkedés – a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevétele mellett – nem megfelelő. Például, ha az adatkezelő különleges adatokat elavult titkosítást használva tárol.

Az adatvédelmi incidensnek a biztonság sérüléséből kell következnie. Nem adatvédelmi incidens, ha az adatkezelő normál működése során, a kialakított és követett eljárásrend vezet az incidenshez, tehát az adatkezelés kifejezett célja az incidenst megvalósító eredmény. Nem beszélhetünk adatvédelmi incidensről például, ha a rosszul megtervezett regisztrációs felületen az érintett helyett az adatkezelő előre bepipálja, hogy az érintett hozzájárul bizonyos személyes adatainak egy meghatározott direktmarketing-üzeneteket küldő vállalkozáshoz történő továbbításához. Ebben az esetben az érintett személyes adatainak a jogosulatlan közlése nem a biztonság sérüléséből adódik, ezért nem adatvédelmi incidensről, hanem jogellenes adatkezelésről van szó.

Ugyancsak nem beszélhetünk adatvédelmi incidensről, ha a biztonság sérülése révén nem személyes adatot érint az incidens, hanem például egy know-how-hoz vagy egy személyes adatokat nem tartalmazó üzleti titokhoz jogosulatlanul férnek hozzá.

Tehát nem minden adatvédelmi jogsértés adatvédelmi incidens, de minden adatvédelmi incidens adatvédelmi jogsértés. Illetve nem minden biztonsági incidens adatvédelmi incidens, de minden adatvédelmi incidens biztonsági incidens.

Az adatvédelmi incidens fogalmának nem szükséges eleme sem a rosszhiszeműség, sem a jogellenes magatartás. Továbbá az incidenst nemcsak az adatkezelő magatartása idézheti elő, hanem akár harmadik személy is, bár az esetek döntő többségében az adatkezelő valamilyen szintű gondatlansága megállapítható. Ugyanúgy adatvédelmi incidensnek minősül, ha az adatkezelő alkalmazottja véletlenül törli a személyes adatot, vagy ha egy nem megfelelően frissített szoftver hibájából adódóan törlődik, vagy egy ismert, de nem javított sérülékenységet kihasználva külső támadó törli azt.

Az információbiztonságban jól ismert fogalmakat használva az adatvédelmi incidenseket alapvetően három kategóriába sorolhatjuk. Egyrészről létezhet bizalmassági incidens, amely a személyes adatok véletlen vagy felhatalmazás nélküli közlését, illetve az ezekhez való hozzáférést jelenti. Másrészről sértetlenséggel kapcsolatos incidens, amely a személyes adatok véletlen vagy jogtalan megváltoztatását foglalja magába. Harmadrészről megkülönböztethetünk hozzáférhetőséggel kapcsolatos incidenst, amely a személyes adatok véletlen vagy jogtalan megsemmisítését vagy ezek elvesztését eredményezi. A körülményektől függően egy adatvédelmi incidens több kategóriába is besorolható, például egy zsarolóvírus, amely a személyes adatokat nemcsak titkosítja, hanem le is másolja és elküldi egy távoli szerverre, egyszerre bizalmassági és hozzáférhetőséggel kapcsolatos incidens (WP 250).

Az adatvédelmi incidens kockázatainak az elemzése

Az adatvédelmi incidens azonosítását követően az adatkezelő következő feladata azt eldönteni, hogy az adott incidens milyen kockázatot jelent az érintett természetes személyek jogaira és szabadságaira nézve. Ez több szempontból fontos, egyrészről az adatkezelő a kockázat valószínűségéhez és súlyosságához mérten tudja kezelni az incidens hatásait; másrészről meg tudja állapítani, hogy bejelentési, illetve tájékoztatási kötelezettsége keletkezett-e. Ez utóbbi esetében ugyanis kiemelendő, ahogy azt lentebb látni fogjuk, hogy a GDPR-ban nevesített, az adatvédelmi incidensekhez kapcsolódó adatkezelői, adatfeldolgozói kötelezettségek az adott incidens kockázati besorolásától függenek. Fontos itt megemlíteni, hogy a kockázatelemzést rögtön az incidensről történő tudomásszerzést követően megkezdi az adatkezelő, és ezt végig, egészen az incidenskezelés lezárásáig folyamatosan naprakészen tartja. Tehát ezt a tevékenységet az adatkezelő folyamatosan, a többi kötelezettség mellett párhuzamosan végzi.

Kockázat az az eshetőség, amely a súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit.

Az adatvédelmi incidensek kockázatelemzése során az érintettek jogaira és szabadságaira veszélyt jelentő kockázatokat szükséges vizsgálni, amely szélesebb kört jelent az érintett magánszféráját érintő hatásoknál, hiszen érinthet olyan alapértékeket is, mint például a hátrányos megkülönböztetés tilalma. A kockázatelemzésnek objektív kritériumokon kell alapulnia, illetve figyelembe kell venni a kockázatnak az érintett jogaira és szabadságaira gyakorolt hatásának valószínűségét és súlyosságát.

Egy incidens sokféle negatív hatással járhat az érintettek magánszférájára nézve, ebből sorol fel példálózó jelleggel néhányat a GDPR. Kockázatról akkor beszélhetünk, ha az adatvédelmi incidens fizikai, vagyoni vagy nem vagyoni kárt okozhat az adatalanynak. A kockázatok nagyon különbözőek lehetnek, és adatkezelésről adatkezelésre változhatnak. A fizikai károk közül természetesen a legsúlyosabb, ha az adatalany meghal, vagy maradandó testi sérülést szenved. Ilyen jellegű kockázatok magas valószínűséggel egészségügyi intézmények esetén vehetők figyelembe. Például egy transzplantációs klinika esetében a páciens mint adatalany egészségügyi adatainak (például vércsoport, gyógyszerallergia) elvesztése, megváltoztatása komoly fizikai kárt okozhat az érintett számára. A vagyoni kár legtöbbször valamilyen pénzügyi veszteséget jelent az adatalany számára. Ez magas valószínűséggel olyan adatkezelések esetén értelmezhető, ahol közvetlenül az adatkezelő is kezel fizetéshez szükséges adatokat. Nem vagyoni kárt okozó kockázat lehet például az érintett jóhírnevének a sérülése. Ha például az incidens során az adatkezelőtől olyan érzékeny személyes adatok kerülnek ki, amelyekből az érintettre nézve olyan következtetések vonhatók le, amelyeket nem kívánt nyilvánosan megosztani. Az egyik leggyakoribb kockázat, amely a fenti károk közül bármelyikhez vezethet, a személyazonossággal való visszaélés. A legtöbb adatkezelés esetében az érintett megadja azonosító adatait, több esetben elérhetőségeit, illetve egyéb – leggyakrabban pénzügyi – azonosítóit, amelyeket a mai online világban könnyű visszaélésre használni. Ennek megfelelően az adatkezelőnek az incidensben érintett adatok elemzésekor mindig értékelnie kell, hogy a kiszivárgott adatok felhasználhatóak-e és milyen mértékben az adatalanyok személyazonosságával való visszaélésre. Ugyancsak gyakori kockázati tényező, ha az adatalanyok nem rendelkeznek saját személyes adataik felett. A kockázatokat megfelelő és kellő idejű intézkedések jelentősen csökkenthetik vagy akár azok bekövetkeztét meg is előzhetik [GDPR (75) és (85) preambulumbekezdés]. A kockázatelemzésnek objektív ismérveken kell alapulnia, illetve figyelembe kell venni, hogy a kockázat milyen valószínűséggel gyakorol hatást az érintett magánszférájára, és a negatív hatás milyen súlyosságú. A kockázatelemzés során érdemes mérlegelni az incidens típusát, az incidensben érintett személyes adatok kategóriáit, érzékenységét és számát. Fontos továbbá megvizsgálni, hogy az incidensben érintett adatalanyok mennyire egyszerűen azonosíthatók. Emellett vizsgálandó az incidens hatásainak a súlyossága, különösen, ha nagyszámú érintettre vagy sérülékenyebb érintetti körre gyakorol hatást az incidens. Végül fontos azt is figyelembe venni, ha az adatkezelő speciális tulajdonságából vonható le következtetés az érintettekre.

A kockázatok súlyosságára befolyással lehetnek az incidens bekövetkezésének körülményei, az incidens típusa. Érzékenyebb adatok (például egészségügyi adatok, pénzügyi adatok) esetében elmondható, hogy az adatok jogosulatlan közlése vagy az ahhoz történő jogosulatlan hozzáférés többnyire nagyobb kockázatot jelent, mint az adatok véletlen törlése, különösen, ha az adatok – akár az érintett segítségével – helyreállíthatók.

Az érintett kockázatainál mérlegelhető az a tényező is, mi vezetett az adatvédelmi incidenshez. Az esetek többségében egy rosszindulatú külső támadás esetén a kikerült személyes adatokkal való visszaélés valószínűsége magas. Ugyanakkor a kockázat valószínűsége csökkenthető, ha az incidens során olyan harmadik személy ismerte meg a személyes adatokat, amelynél az adatkezelő könnyen elérheti az incidens megfelelő kezelését. Például, ha emberi hiba miatt az adatkezelő egyik beszállítója ismeri meg a személyes adatokat, amely beszállítóval régóta szerződéses kapcsolatban van az adatkezelő, a szerződésben szabályozott módon a beszállítónak dokumentálnia kell az adatkezelőt ért incidens mérséklésére tett lépéseket (ti. dokumentált módon törli a jogellenesen megismert személyes adatokat), akkor a kikerült személyes adatokkal való visszaélés valószínűsége alacsony.

Az érintett magánszférájára gyakorolt hatás szempontjából – ami szintén meghatározó a kockázat felmérésében – is mérlegelendők az eset körülményei. Például, ha emberi hibából törlődik egy magán-egészségügyi intézmény egészségügyi adatait tartalmazó adatbázisa, és a papír alapú nyilvántartásról történő helyreállítás heteket vesz igénybe, aminek következtében több műtéti beavatkozást is el kell halasztani, akkor az incidens az érintettek magánszférájára jelentős hatást gyakorolt. De például, ha egy hírlevélküldő szolgáltatónál a rossz beállítások miatt törlődnek az éles adatbázisból az érintettek személyes adatai, amit néhány napon belül helyreállítanak, ez alatt az érintettek nem kapják meg a direktmarketing üzeneteket, akkor az érintettek jogaira és szabadságaira az incidens nem gyakorolt hatást, nem járt kockázattal. De ha az utóbbi esetben a hírlevélküldő szolgáltatás a személyes adatokhoz egy zsarolóvírus miatt nem fér hozzá ideiglenesen, és a zsarolóvírus nemcsak titkosította, hanem el is lopta a személyes adatokat, akkor ez már kockázattal járhat az érintettek magánszférájára nézve.

Ugyancsak kockázatnövelő tényező lehet, ha az incidensnek hosszú távú hatása lehet az érintettre.

Egy incidens kockázatelemzése során az egyik legfontosabb faktor az incidensben érintett személyes adatok érzékenységének a besorolása. Általánosságban kijelenthető, minél érzékenyebb adatokat érint az incidens, annál kockázatosabb a besorolása, ugyanakkor fontos figyelembe venni, hogy nyilvános vagy könnyen megismerhető személyes adatokkal kombinálható-e az incidensben érintett adatkör, hiszen ez jelentősen növelheti az incidens súlyosságát. Ugyancsak fontos tényező a kockázat besorolásánál, ha az adatból vagy adatok kombinációjából személyiségprofil építhető vagy érzékeny következtetés vonható le. Fontos kiemelni, hogy az adatvédelmi jogi szabályozás csak a különleges adatokat határozza meg fokozottan védendő adatként, de egy adatvédelmi incidens kockázati besorolásakor több olyan adatfajtát is meg lehet határozni, amely jelentősen növeli az adatvédelmi incidens hatását az érintettek jogaira és szabadságaira nézve. Ilyen adatkategóriák lehetnek például az okmánymásolatok, amelyek nagyon könnyen személyiséglopáshoz vezethetnek, vagy a felhasználónév és jelszó kombinációk, amely adatok jogosulatlan megismerése sokféle káros következménnyel járhat. Ennek megfelelően egy adatvédelmi incidens kockázatbesorolása során az érzékeny adatok kategóriáját érdemes a különleges adatokon túl más személyes adatokra is alkalmazni.

Az incidensben érintett személyes adatok száma mint kockázatot befolyásoló tényező jelentősebb magyarázatot nem igényel. Általánosságban kimondható, minél magasabb az adatvédelmi incidenssel érintettek száma, annál súlyosabb az incidens. Ugyanakkor ezt a kritériumot sem lehet mechanikusan alkalmazni, hiszen egy érintett esetén is lehet az incidens olyan súlyosságú, hogy az incidens kockázatbesorolása magas lesz. És sok érintett esetén is lehetnek olyan kockázatcsökkentő tényezők, amelyek alapján az incidens kockázatbesorolása alacsony marad.

Kiemelendő, hogy fontos mindig esetről esetre vizsgálni a kockázatokat, de általánosságban kijelenthető, hogy minél több adatot és minél több fajtájú adatot érint az incidens, annál magasabb lehet a kockázati besorolása, hiszen annál pontosabb profil építhető az érintettről.

A GDPR szövegéből közvetlenül következő kockázatbefolyásoló tényező az érintettek azonosíthatóságának a foka. Ennek a faktornak a mérlegelése csak az incidens körülményeinek az ismeretében lehetséges, hiszen könnyen előfordulhat, hogy az incidensben érintett adatok felhasználásával minden egyéb erőfeszítés nélkül közvetlenül azonosítható az érintett, de az is megtörténhet, hogy az érintettek azonosítása csak komoly erőfeszítések árán lehetséges. A természetes személyek azonosítása direkt vagy indirekt módon is megvalósulhat, ennek megítélése során figyelembe kell venni, hogy az érintett adatokból milyen következtetések vonhatók le, illetve mennyire kapcsolhatók össze nyilvánosan megismerhető adatokkal. Titkosítás, illetve pszeudoanonimizálás használata jelentősen csökkentheti ennek a kockázatnak a valószínűségét.

Az incidensben érintett személyes adatok különböző fajtái, illetve az érintetti kör speciális tulajdonságai jelentősen befolyásolhatják az incidensnek az érintettre gyakorolt hatását. Ha különleges adatok vagy kiszolgáltatott helyzetben lévő érintettekre (például gyermekekre) vonatkozó adatok kerülnek nyilvánosságra az incidens során, akkor az mindenképpen jelentősebb hatást gyakorol az érintett jogaira és szabadságaira nézve, ezért az incidens kockázati besorolása magasabb.

Bizonyos esetekben az adatkezelő oldalán is lehet olyan kritériumot találni, amely emelheti az incidens besorolását, amikor magából az adatkezelőből lehet levonni bizonyos következtetéseket. Például önmagában a vásárlók listájának a nyilvánosságra kerülése nem jelent magas kockázatot, de ha ez egy daganatos megbetegedések kezelésére szolgáló étrendkiegészítő bolt vásárlóinak a listája, akkor az már magasabb kockázatot hordoz magában.

A kockázatelemzés során tehát az adatkezelőnek a fenti kritériumokat érdemes mérlegelnie, és azokat figyelembe véve azonosítani az érintett jogaira és szabadságaira veszélyt jelentő kockázatokat, majd ezeket a kockázatokat valószínűség és súlyosság szerint besorolnia.

Az adatvédelmi incidens nyilvántartása

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, azok hatásait és az orvoslására tett intézkedéseket [GDPR 33. cikk (5) bekezdés].

A nyilvántartás célja, hogy akár a felügyeleti hatóság, akár az adatalany ellenőrizni tudja, hogy az adatkezelő miként felelt meg a GDPR előírásainak.

A nyilvántartási kötelezettség valamennyi adatvédelmi incidensre kiterjed, függetlenül annak kockázataitól. Ez a kötelezettség elsősorban az elszámoltathatóság alapelvének az adatvédelmi incidensek kapcsán történő konkretizálása. A nyilvántartás formájára és módszerére vonatkozóan a GDPR nem ad iránymutatást, azt teljesen az adatkezelő döntésére bízza. Nagyobb adatkezelők esetén, ahol az adatvédelmi incidensek száma is vélhetőleg magasabb, érdemes ezt a nyilvántartást összekapcsolni az adatkezelési műveletek nyilvántartásával. Az elszámoltathatóság elvéből következik, hogy a fent leírtak mellett a nyilvántartásban érdemes azt is rögzíteni, hogy az adatkezelő milyen indokok alapján döntött az adatvédelmi incidens bejelentéséről vagy annak mellőzéséről.

A korábbi hazai adatvédelmi szabályozás már tartalmazott hasonló kötelezettséget az adatkezelők számára, amikor kimondta, hogy az adatkezelő – ha belső adatvédelmi felelőssel rendelkezik, a belső adatvédelmi felelős útján – az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat [Infotv. 2018. július 25-ig hatályos 15. § (1a) bekezdés]. Ennek megfelelően a GDPR fent említett rendelkezése nem számít újdonságnak a magyar adatkezelők számára.

Az adatvédelmi incidenst az adatkezelő a tudomásszerzést követően 72 órán belül köteles bejelenteni a felügyeleti hatóságnak, ha az valószínűsíthetően kockázattal jár az érintett magánszférájára nézve. Továbbá az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről. Az ado.hu Linkedin oldalán elolvashatja az adatvédelmi incidens bejelentésével és az érintett tájékoztatásával kapcsolatos tudnivalókat.

A cikk részlet volt a Wolters Kluwer Kft. gondozásában megjelent Magyarázat a GDPR-ról c. könyvből.

Forrás: ado.hu

 

Ha tetszett a cikk, LIKE-old Facebook oldalunkon!