Az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) egyik, minden adatkezelőt érintő újítása az adatvédelmi incidensek bejelentési kötelezettsége.

Hasonló kötelezettség terheli már az Elektronikus Hírközlésról szóló 2003. évi C. törvény hatálya alá eső elektronikus hírközlési szolgáltatókat. Az újdonság tehát, hogy a GDPR alkalmazhatóvá válásával, 2018. május 25-től minden személyes adatot kezelő szervezetnek, azaz gyakorlatilag minden szervezetet, működési formától függetlenül biztosítania kell azt, hogy az esetleges adatvédelmi incidenseket a megfelelő formában és tartalommal kommunikálja.

A mai globalizált világban az adat, illetve az adatoknak tulajdonított érték kimagasló és meghatározza az emberek életét. Emiatt az egyes adatvédelmi incidensek nagysága és hatásuk sem elhanyagolható. Az érintett adatok köre igen változatos, és például a mostani trendek szerint az egészségügyi adatok feketepiaci értéke a pénzügyi adatok (például bankkártya adatok) értéke fölé emelkedett. Ezt támasztja alá például egy friss gyártói jelentés, amely szerint az adatvédelmi incidensekkel leginkább érintett szektor az egészségügyi szektor volt.

A GDPR-hoz fűzött indokolás szerint “az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. […]” Erre figyelemmel a jogszabály minden adatkezelő számára előírja, hogy az adatvédelmi incidenseket főszabály szerint “indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.”

Ezen túlmenően az érintetteket is késedelem nélkül tájékoztatni kell az incidens következményeiről, illetve a hatások enyhítését célzó javaslatokról is (például a jelszavak lecserélése).

Mit kell tenni annak érdekében, hogy megfeleljünk a GDPR előírásainak?
Azon szervezetek, amelyeknél már kialakítottak valamilyen incidenskezelési eljárást célszerű eltérés elemzés keretében vizsgálni a GDPR előírásaihoz viszonyított megfelelőséget. Ahol azonban nincs ilyen, ott javasolt kialakítani az egyes események és incidensek összegyűjtését, figyelését és elemzését szolgáló informatikai és szervezeti folyamatot. Ebben segítségre lehet a nemzetközi ISO 27001-es szabványcsalád, vagy az Amerikai Egyesült Államok Szabványügyi Intézete (NIST) incidenskezelésről szóló publikációja.

Segítheti a GDPR-nak való megfelelést, ha a szervezet például az ISO 27001 szabvány szerinti biztonsági irányítási rendszert vezet be és működtet, ezért a lentebb részletezett példafolyamatunkat a hivatkozott ISO szabványra, illetve az információ biztonsági területen érvényes gyakorlatra figyelemmel építjük fel. Az incidenskezelési szabályozási célokat a szabvány “A” mellékletének 16. pontja részletezi. Az egyes kontrollok értelmezésében az ISO 27002 : 2013 szabvány lehet segítségünkre.

1. A szabvány szerint a szervezeten belül ki kell alakítani a megfelelő felelősségi köröket és struktúrákat, így “vezetői felelősségeket és eljárásokat kell kialakítani, hogy biztosítható legyen a gyors, hatásos és rendezett válaszadás”. Ez a gyakorlatban az incidenskezelési funkció meghatározott szervezeti egységhez rendelését jelenti.

2. Ezt követően intézkedni kell annak érdekében, hogy a szervezeten belül, a megfelelően kommunikált csatornákon keresztül a munkavállalók, ügyfelek, alvállalkozók – tehát külső és belső érintettek egyaránt – jelenteni tudják az egyes eseményeket, illetve kontroll gyengeségeket. Ilyen csatorna lehet egy központi e-mail cím vagy telefonszám létrehozása, amelyen keresztül az értesítések az előző pontban létrehozott szervezeti egységhez érkeznek. Bizonyos esetekben ez készenléti jellegű munkakörök kialakítását is megkívánja, hogy a munkaidőn kívül bejelentett vagy felfedezett incidensek kezelése is a megfelelő módon megtörténjen.

Technikai oldalról továbbá ez jellemzően a személyes adatokat feldolgozó, tároló és továbbító informatikai rendszerekekkel kapcsolatban a naplózandó események körének meghatározásátl, például hozzáférési kísérletek, hozzáférések, módosítások naplózását, illetve ezen naplók rendszeres elemzését jelentik (akár manuálisan, de leginkább automatizáltan, célszoftverekkel támogatva). Naplóelemzés mellett természetesen célszerű gondoskodni az informatikai hálózatot védő és figyelő eszközökről is (például Intrusion Detection System (IDS)/Intrusion Prevention System (IPS)-ek telepítése a hálózaton, Web Application Firewall-ok üzemeltetése a kritikus webalkalmazásokat kiszolgáló szerverek mellett, stb.), illetve a külső sérülékenységek folyamatos azonosításáról, nyomonkövetéséről és dokumentált módon történő javításáról.

Külön érdemes kiemelni a szervezet külső kapcsolatainak figyelését, az adatfeldolgozókat és a kiszervezett tevékenységeket ellátókat érintő események és incidensek monitorozását, mivel ezekért is az adatkezelő tartozik felelősséggel. A külső szolgáltatókkal kapcsolatos fenyegetettségek és kitettségek a jelenlegi trendek szerint továbbra is emelkedni fog, így incidensek bekövetkezése, adatszivárgások is várhatók.

3. Az incidensek tényleges kezelésére akkor kerül sor, ha a szervezet felfedezi, hogy a monitorozott és gyűjtött események között olyan nem várt, vagy nem kívánt esemény van, amelyek nagy valószínűséggel veszélyeztetik a személyes adatok feldolgozását, tárolását vagy továbbítását. Ilyen eset lehet például, ha egy munkavállaló jogosulatlanul lemásolta a szervezet természetes személy ügyfeleit tartalmazó Excel file-t és azt elküldte a versenytársnál dolgozó ismerősének. Ezen túlmenően az incidensek kezelésére célszerű szintén valamilyen szoftvert használni, például egy jegykezelő rendszert (“issue tracking system”).

a) Ilyen esetben az első lépés maga az incidens validálása, azaz annak eldöntése, hogy ténylegesen adatvédelmi incidensről van szó, vagy téves riasztásról. A validálást követően, az incidenst hatása alapján célszerű priorizálni és eszerint a prioritási szint szerint erőforrásokat hozzárendelni a további incidenskezeléshez.

A GDPR szigorú határidőt ír elő az incidensekkel kapcsolatos bejelentések megtételére. A bejelentésnek az incidens észlelésétől számított 72 órán belül meg kell történnie. Mivel az adatvédelmi incidensről – kevés kivételtől eltekintve – kizárólag a szervezet bír tudomással eleinte, a határidő megtartásának figyelése kérdéses és csak utólagosan, hatósági audit keretében állapítható meg. Ugyanakkor a főszabály alól a GDPR maga állapít meg kivételt. Abban az esetben nem kell bejelenteni az adatvédelmi incidenst 72 órán belül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ilyen eset lehet, ha a személyes adatokat olyan technikai intézkedés, például titkosítás védte, amelynek a visszafejtése a mai számítási kapacitás alapján nem lehetséges, vagy maga az incidensekkel érintett személyes adatok köre csekély, elhanyagolható mértékű kockázatot jelent, például az adatalanyok telefonkönyv szerint is nyilvános vezeték és keresztneveinek kiszivárgása a telefonszolgáltatótól.

b) A további károk megelőzése érdekében az incidenseket, az érintett rendszereket, személyeket a validálásukat követően be kell határolni és el kell különíteni. Ezzel párhuzamosan gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok megőrzésén és begyűjtésén, akár külön forensic szakértő igénybe vételével. A bizonyítékok begyűjtését és biztosítását követően lehet megkezdeni a károk helyreállítását és az üzemszerű működés visszaállítását.

A GDPR a bizonyítékok tekintetében nem tartalmaz kifejezett, taxatív listát, ugyanakkor az előírásai alapján az alábbiakat alátámasztó bizonyítékok megőrzése kiemelten javasolt:

– az adatvédelmi incidens jellegére, beleértve – ha lehetséges – az érintettek kategóriáira és hozzávetőleges számára (például jogosulatlan külső hozzáférés az adatfeldolgozó rendszereihez, amely miatt az adott szolgáltatást igénybe vevő 10.000 ügyfél személyes adatainak bizalmassága sérült)
– az incidenssel érintett adatok kategóriáira és hozzávetőleges számára (például egyes ügyféltranzakciók és száma)
– az adatvédelmi incidensből eredő, valószínűsíthető következményekre (például a személyes adatnak minősülő bankkártya adatokkal interneten keresztül fizetési tranzakciót lehet teljesíteni)
– az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedésekre (például az érintett bankkártyák érvénytelenítése vagy szerződés bontás a külső szolgáltatóval)

vonatkozó bizonyítékok megőrzése.

Kiinduló pont lehet továbbá az egyes bejelentésekkel kapcsolatban a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról szóló 4/2012. (I. 24.) NMHH rendelet.

Az NMHH rendelet szerint az alábbiakat kell bejelenteni a hatóság részére, így az incidenssel érintett adatkezelő szervezetnek célszerű az alábbiakra vonatkozóan bizonyítékot gyűjtenie

– az esemény bekövetkeztének időpontja, szükség esetén becslés alapján, továbbá az esemény észlelésének időpontja,
– a személyes adatok megsértésének módja és körülményei,
– az érintett személyes adatok jellege és tartalma,
– a szervezet által az érintett személyes adatok védelmére alkalmazott vagy alkalmazni tervezett műszaki és szervezeti intézkedések,
– másik szolgáltató igénybevételével való összefüggés,
– az esemény összefoglalása, megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is,
– az érintett adatalanyok (a rendelet szerint előfizetők, felhasználók, vagy más magánszemélyek) száma,
– a lehetséges következmények és kedvezőtlen hatások ismertetése az adatalanyokra nézve (előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve),
– a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által alkalmazott műszaki és szervezeti intézkedések.

c) Célszerű az incidenskezelési folyamat kialakítása során olyan, az adott szervezetre egyedileg jellemző incidenskezelési forgatókönyvek kialakítása, amelyek megkönnyítik az incidensek azonosítását, kezelését, illetve a károk csökkentését és a működés helyreállítását. Ilyen incidens forgatókönyv lehet például DDoS (Distributed Denial-of-Service) típusú támadások kezelése, vagy pénzügyi intézményeknél a netbankot vagy mobil applikációt érintő támadások kezelése.

A GDPR előírása szerint ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Ilyen magas kockázat lehet, ha az incidens az adatalanyok pénzügyi, egészségi helyzetét, vagy testi épségét, akár életét veszélyeztetheti vagy hátrányosan befolyásolhatja.

Kivétel ez alól, ha az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták. Ezen túlmenően azokban az esetekben, ha az adatkezelő további olyan intézkedést tett amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg, illetve ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ki kell emelni ugyanakkor, hogy az adatvédelmi hatóság ennek ellenére is elrendelheti az érintettek tájékoztatását.

Annak érdekében, hogy a szervezet megfeleljen a GDPR előírásainak, az incidenskezelési eljárás, illetve az egyes forgatókönyvek végrehajtása során javasolt kiemelt figyelmet szentelni a külső, ügyfelekkel történő kommunikációra is (krízis kommunikáció). Általában nem célravezető stratégia a szervezet részéről hallgatásba burkolózni, illetve maga a GDPR is előírja az érintett adatalanyokra vonatkozó tájékoztatási kötelezettséget. A folyamat kialakítása során célszerű meghatározni azt a személyt, aki ilyen esetekben jogosult a külvilág számára (pl. sajtó, ügyfelek, hatóság) számára nyilatkozni, például ügyvezető, vagy külön PR vezető vagy egyéb kommunikációs szakértő. Ezt azért is érdemes kiemelni, mert már az incidenskezelési folyamat kialakításakor célszerű figyelemmel lenni a szervezeten belüli, belső kommunkiciós csatornák kialakítására, arra, hogy ki foglalhat állást az incidenssel kapcsolatban, illetve szervezeten belül is ki írhatja le szakszerűen, hogy mi történt pontosan az egyes incidensek során.

Jellemzően, a legjobb gyakorlatra figyelemmel incidenskezelés céljából meghatározott vezetőkből és szereplőkből álló bizottság ül összeés látja el ezeket a feladatokat. Tagok ebben a bizottságban általában a szervezet vezetője (CEO), a kommunikációs vezető, a biztonsági vezető, illetvea pénzügyi és működési vezető.

4. A folyamat hatékonyságának javítása szempontjából fontos a szervezet számára az állandó tanulás, így az egyes incidensekkel kapcsolatban olyan visszacsatolási folyamat kialakítása, amelyből a szervezet az okok elemzésével a megfelelő következtetések levonását követően a jövőbeni incidensek bekövetkezésének valószínűségét, illetve hatását mérsékelni tudja.

A tanulási, visszacsatolási folyamat mellett fontos a belső és külső felek folyamatos oktatása, a bejelentési csatornák, a teendők tudatosítása, akár éves, visszatérő kötelező oktatás formájában is.

Fontos kiemelni azt is, hogy az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Ennek a nyilvántartásnak lehetővé kell tennie azt, hogy a Nemzeti Adatvédelmi és Információszabadság Hivatala ellenőrizni tudja az adatvédelmi incidens bejelentésekkel kapcsolatos megfelelést (így például az incidens felfedezésétől számított, a hatóság és az adatalanyok felé 72 órán belüli bejelentés megtörténtét is).

Összefoglalásként a GDPR az adatkezelő szervezetek számára olyan új kötelezettséget ír elő, amely a meglévő folyamatok felülvizsgálatát vagy új, belső folyamat és technikai intézkedések kialakítását követelik meg. Segítheti a GDPR-nak való megfelelést, ha a szervezet valamilyen például az ISO 27001 szabvány szerinti biztonsági irányítási rendszert vezet be és működtet.