2016. április 27-én fogadta el az Európai Parlament és a Tanács a 679/2016 EU Rendeletet, az általános adatvédelmi rendelet, közismert nevén a GDPR-t.
A szöveg elfogadása óta eltelt közel két év nem telt el eseménytelenül, azonban erősen vegyes képet mutat. A 29. Cikk szerinti Munkacsoport, illetve azóta Európai Adatvédelmi Testület több állásfoglalással és iránymutatással segítette a felkészülést az GDPR-ral kapcsolatban, sajnos nem minden területen maradéktalanul és sok nyitott kérdést megválaszolatlanul hagyva. Több olyan részletszabály is tisztázatlan maradt, amelyek az adatvédelmi működés szempontjából kulcs fontosságúak, mint például az adatvédelmi tisztviselő (DPO) tényleges helye az adott szervezeten belül, a változó tájékoztatási követelmények értelmezése vagy az alapértelmezett és beépített adatvédelemmel kapcsolatos, kézzel fogható követelmények meghatározása.
Hasonlóan ahhoz, ahogy az információ biztonsági szervezetek épültek ki, a vállalatvezetésnek ugyanúgy tisztában kell lennie azzal, hogy az adatvédelem konkrét, kézzelfogható üzleti kockázatot jelent. Nem jelenik meg markánsan a jogszabály szövegben, annak értelmezése és szellemisége alapján azonban egy dolog biztosnak látszik: ahhoz, hogy egyes adatkezelő vagy adatfeldolgozó szervezetek meg tudjanak felelni a GDPR követelményeinek, különösen az alapértelmezett és beépített adatvédelem mindent átszövő, folyamatokba behatoló követelményének, ehhez egy testre szabott adatvédelmi keretrendszert szükséges kidolgozni és folyamatosan működtetni.
Alapértelmezett és beépített adatvédelem
Az alapértelmezett adatvédelem (privacy-by-design) fogalom Ann Cavoukian, Ph.D. , Ontario állam volt adatvédelmi biztoshoz köthető. „Privacy-by-design” című anyagában hét alapelvet különböztet meg:
1. Proaktív, nem reaktív – preventív és nem utólagos
2. Az adatvédelem az alapértelmezés szerinti beállítás
3. A tervezés folyamatába épített
4. Teljes funkcionalitás támogatása
5. Végponttól végpontig tartó biztonsági megoldások alkalmazása, a teljes adatkezelési életciklus alatt
6. Transzparencia és átláthatóság
7. Felhasználóbarát módon a magánszféra védelme
A fenti alapelvek érvényesítésének az informatika, az üzleti folyamatok, valamint a fizikai tervezés és hálózati infrastruktúra szintjén kell megtörténnie.
Az alapértelmezett és beépített adatvédelem egyik gyakorlati megvalósítási eszköze az adatvédelmi hatásvizsgálat. Az információs önrendelkezési jogról és információszabadságról szóló törvény korábban hatályos 7. § (1) bekezdésében megjelent az a kötelezettség, hogy az adatkezelési műveletek megtervezésével és végrehajtásával kapcsolatosan érintettek magánszférájának védelmét biztosítani szükséges. Az ennek részét képező hatásvizsgálatok végrehajtása azonban eddig nem volt jelen a magyar adatvédelmi jogi kultúrában, sem pedig az adatvédelmi hatóság eddigi gyakorlatában.
Összefoglalóan az adatvédelmi hatásvizsgálat egy adatvédelmi jogi, adatbiztonsági, információ biztonsági kockázatelemzés.
A NAIH GDPR értelmezésével kapcsolatosan kiadott, valamint a WP29 korábbi állásfoglalásaira figyelemmel az alábbi folyamat mentén célszerű adatvédelmi hatásvizsgálatot végezni:
1. Ha valószínűsíthetően magas kockázattal jár az adatkezelés, úgy szükséges. Ha nincs magas kockázat, akkor nem szükséges az adatvédelmi hatásvizsgálat;
2. Fennáll a 35. Cikk (5) vagy (10) bekezdéseiben (felügyeleti hatóság által, illetve tagállami szabályozás által kivett adatkezelési tevékenységek) megfogalmazott kivétel?
3. Adatvédelmi hatásvizsgálat tényleges elvégzése, amelyhez – amennyiben a szervezetnél kinevezték – figyelembe kell venni az adatvédelmi tisztviselő tanácsát, a magatartási kódex(ek) előírásait, illetve az adatalanyok, vagy képviselőik véleményét.
4. Az adatvédelmi hatásvizsgálat eredményeként az adatkezelő ellenőrzi az adatkezelési tevékenységeit és szükségszerűen módosítja, illetve további szervezési és technikai kontrollokat vezet be.
5. Amennyiben az adatvédelmi hatásvizsgálat eredményeként, az azonosított szervezési és technikai kontrollok ellenére még mindig magas maradvány kockázati szint jelentkezik, úgy az adatkezelési tevékenység megkezdése a felügyeleti hatósággal szükséges konzultálni.
A jelenleg hatályos szabályozás alapján – figyelemmel a NAIH és WP29 e tárgyában kiadott állásfoglalásaira – 2018. május 25. napjától kötelezően el kell végezni az adatvédelmi hatásvizsgálatokat.
A GDPR 25. cikk (10) bekezdése szerint a hatásvizsgálatokat a GDPR 6. cikk (1) bekezdésének c) vagy e) pontja szerinti „kötelező adatkezelési” jogalapok esetében is el kell végezni, kivéve, ha e jogalap elfogadása során a tagállamok az általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot. Mivel a magyar jogalkotó a jogalkotási folyamat részekét nem végezett adatvédelmi hatásvizsgálatot és az ilyen hatásvizsgálat elvégzéséről csak a GDPR végrehajtását szolgáló Infotv. módosítás rendelkezett, ami 2018. július 26. napja óta hatályos, a magyar adatvédelmi hatóság a NAIH-2018-1318-3-K sz. állásfoglalásában helyesen mutatott rá arra, hogy a GDPR 35. (10) bekezdése nem alkalmazható, azaz a magyarországi adatkezelőknek a 2018. július 26. napját megelőzően elfogadott kötelező adatkezelési jogalapok vonatkozásában is kell elvégezni az adatvédelmi hatásvizsgálatokat.
Mely adatkezelési tevékenységek esetében szükséges elvégezni az adatvédelmi hatásvizsgálatot? A WP29 iránymutatása nem kötelező erejű e tekintetben, így az iránymutatásban közétett gondolatok leginkább javaslatként vehetők figyelembe az egyes felügyeleti hatóságok számára.
Az alábbi tevékenységeket említi az iránymutatás:
1. Scoring, adatalanyok értékelése (pl. profilozás, vagy banki hitelbírálat)
2. Jogi vagy hasonló hatással járó automatizált döntéshozatal
3. Adatalanyok módszeres megfigyelése (pl. köztéri zártláncú kamerás megfigyelés)
4. Érzékeny adatok esetében, pl. személyes adatok különleges kategóriáinak esetében, külön kiemelve az elektronikus kommunikációt, pénzügyi, geolokációs adatokat, vagy magánszemélyek által használt felhőszolgáltatásokat, személyi asszisztenseket
5. Adatkezelési műveletek kiterjedtsége, amellyel kapcsolatban az alábbiakat javasolja figyelembe venni a 29-es számú Munkacsoport:
● érintett adatalanyok számossága
● kezelt adatok mennyisége, változatossága
● adatkezelés időtartama, állandósága
● földrajzi kiterjedtsége
6. Összekapcsolt adatállományok, adathalmazok
7. Jogérvényesítésükben korlátozott vagy kizárt adatalanyok adatkezelése, pl. gyermekek, fogyatékkal élők, de még munkavállalók is
8. Technológiai vagy szervezési megoldások újítása
9. EU-n kívüli adatkezelés esetén
10. Olyan esetekben, amikor az adatalany nem rendelkezik tényleges választási lehetőséggel
A 29. cikk szerinti Adatvédelmi Munkacsoport értelmezése szerint a fentiek közül legalább két adatkezelési tevékenység együttes fennállása már valószínűsíthetően magas kockázattal jár. Ugyanakkor mérlegelni kell azt is, ha csak egy ilyen jellegű adatkezelés valósul meg az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira.
Az iránymutatás tartalmazza azokat az adatkezelési tevékenységeket is, amelyek esetében nem tartja szükségesnek a Munkacsoport az adatvédelmi hatásvizsgálat elvégzését.
A NAIH által kiadott lista pedig itt érhető el.
Milyen módon javasolt elvégezni az adatvédelmi hatásvizsgálatot?
A Munkacsoport egyértelművé teszi, hogy a hatásvizsgálatot az adatkezelőnek (és nem az adatfeldolgozónak) kell elvégeznie és ezzel kapcsolatosan az adatvédelmi tisztviselő véleményét, illetőleg az érintettek véleményét is be kell szereznie az adatkezelőnek. Ha az érintettek véleményét nem szerzi be az adatkezelő (pl. üzemi tanácsi konzultáció vagy ügyfél kérdőív kitöltése útján), úgy annak indokát az adatkezelőnek dokumentálnia kell. A Munkacsoport azt javasolja legjobb gyakorlatként, hogy belső szabályzatban kerüljön rögzítésre az adatvédelmi hatásvizsgálat elvégzésének folyamata, tehát az, hogy ki kezdeményezheti, illetve az értékelési folyamatba kit szükséges bevonni.
A fentiek eléréséhez elsősorban egy kockázatkezelési módszertant szükséges implementálnia az adatkezelőknek, amely a vállalati operációs kockázatkezelési folyamatokkal összhangban, annak részeként teszi lehetővé a megismételhető, összehasonlítható és konzisztens eredményt adó adatvédelmi hatásvizsgálatok elvégzését. Magát az egyes kockázatkezelési folyamatok koherenciáját, a megfelelő kockázati étvágy szintjének meghatározását, az adatvédelmi kockázatok rendszeres jelentését a felső vezetés számára legjobban egy irányítási keretrendszer részeként integrált kockázatmenedzsment folyamat biztosítja.
Az adatvédelmi hatásvizsgálatok elkészítéséhez a francia adatvédelmi hatóság által fejlesztett szoftver 2.0-ás verziója az Az adatvédelmi irányítási keretrendszer
Hogyan épül fel egy adatvédelmi irányítási keretrendszer?
Standardizált formáját az ISO 29100 : 2011 szabvány írja le, amely az alábbi elemeket taglalja.
1. Szereplők és szerepkörök (Actors and Roles)
Vállalati belső szabályzatokban, folyamat leírásokban is definiálni kell az egyes adatvédelmi funkciókat és szerepköröket. Így ha a vállalat úgy dönt, hogy adatvédelmi tisztviselőt nevez ki, az ezzel kapcsolatos szükségességi elemzést, feladatokat, felelősségeket, jelentéstételi kötelezettségeket és a függetlenséget biztosító kontrollokat rögzíteni kell az elszámoltathatóság elvének megfelelően. Ezen kívül rögzíteni kell, hogy ki fogja végrehajtani az egyes adatvédelmi kontrollokat, kinek a feladata ezeket ellenőrizni, illetve meghatározni.
A szabvány szerint az alábbi szerepköröket kell felismerni és a megfelelő módon, szabályozott formában rögzíteni:
• érintettek (PII principals)
• adatkezelők (PII controllers)
• adatfeldolgozók (PII processors)
• harmadik felek (third parties)
2. Kapcsolatok (Interactions)
A szabvány felsorolja azokat a lehetséges variációkat, ahogy az adatalanyok, adatkezelők, adatfeldolgozók és harmadik felek kapcsolatba léphetnek egymással.
Ennek az általunk javasolt gyakorlati megvalósulása az adatvédelmi irányítási keretrendszer implementálása során ki kell, hogy terjedjen az alábbi vállalati funkciókra:
• Ügyfelekkel, érintettekkel közvetlenül kapcsolatban lévő funkciók, pl. panaszkezelés, marketing, ügynökök, fiókhálózat, online bolt, stb. – adatalanyok
• Beszerzéssel, kiszervezés ellenőrzésével kapcsolatos funkciók – adatfeldolgozók, harmadik felek
• Belső, feldolgozói, támogató funkciók, pl. informatika, back-office, operáció, kockázatkezelés – adatkezelők
3. Személyes adatok felismerése (recognizing PII)
Maga a szabvány az USÁ-ból származó “Personal Identifiable Information” (PII) kifejezést használja, amely eltér a GDPR személyes adat (personal data) fogalmától. Nincs zárt lista arra nézve, hogy mi tekintendő PII-nak – hasonlóan a GDPR-hoz – több tényező mérlegelése, illetőleg adott esetben kockázat alapú megközelítés szükséges ehhez.
A szabvány kiemeli, hogy az adatfeldolgozó informatikai rendszereknek célszerű olyan funkciókkal rendelkezniük, amelyek támogatják az egyes adatalanyokat abban, hogy rendelkezhessenek a saját személyes adataikkal.
A fentieken kívül figyelemmel kell lenni az egyes metaadatokra, azokra az esetekre, amikor több, nem közvetlenül az adatalanyra mutató jellemző alapján válik azonosíthatóvá a természetes személy (pl. VIN és a kiadott rendszám)
4. Adatvédelmi kontrollok (privacy safeguarding requirements)
Az adatfeldolgozó rendszerek, így jellemzően informatikai rendszerek, szolgáltatások és szoftverek tervezése, specifikálása során kiemelt fontossággal bír az adatvédelmi követelmények meghatározása, kikényszerítése és annak ellenőrzése. A folyamat hasonló, mint ahogy korábban az információ biztonsági követelmények is megjelentek a szoftver termékek nem-funkcionális specifikációi között. A jól felépített adatvédelmi keretrendszer biztosítja, hogy az egyes projektek, vagy informatikai rendszerek, beszerzések, specifikálások során az adatvédelmi funkció megfelelő módon vegyen részt a tervezésben. Ha ez utólag történik meg, az többszörös költségnövekedést eredményezhet.
A szabvány kiemeli a kockázatkezelés, a kockázatkezelési folyamatok fontosságát, mind a szervezet egészére nézve átfogóan, mind az egyes adatfeldolgozásban részt vevő informatikai rendszerre. Ebbe a keretbe illeszkedik bele az adatvédelmi kockázatok felmérését célzó adatvédelmi hatásvizsgálat. Emiatt különösen fontos, hogy ne csak egy kitöltendő sablon legyen az adatvédelmi hatásvizsgálat, hanem ténylegesen olyan, nemzetközileg elismert szabványokon nyugvó módszertan legyen mögötte (pl. ISO 31000 vagy az ISO 27005 szabványok nyújtanak ebben támpontot), amely a teljes vállalatot lefedő kockázatkezelési folyamatba csatornázódik be és ezen keresztül informálja a vállalat felső vezetését az adatvédelmi jogi és adatbiztonsági kockázati kitettség szintjéről, az egyes kontrollok implementációjának aktuális állapotáról, valamint a kulcskockázati mutatók (Key Risk Indicators ~KRI) és kontroll teljesítmény mutatók szintjéről (Key Performance Indicators, ~KPI) .
Egy általános kockázatmenedzsment folyamat az alábbiakból áll össze:
• A szervezet üzleti céljainak, funkciójának és fő tevékenységi körének megértése, a kockázatkezelési kontextus meghatározása, beleértve az üzleti és technológiai környezet leírását, az adatvédelmet befolyásoló tényezőkkel (pl. jogi és szabályozási, szerződéses viszonyok, üzleti és egyéb tényezők)
• Kockázatértékelés, amelynek során azonosítja, elemzi és értékeli a releváns kockázatait a szervezet
• Az azonosított kockázatok kezelése, amely klasszikusan négy opciót ölel fel: kockázatcsökkentés további szervezési és technikai kontrollok kialakításával, kockázat elfogadás, a kockázat annulálása a kapcsolódó tevékenység megszüntetése miatt, valamint a kockázatok továbbítása (pl. biztosítás kötésével)
• A kockázatok kommunikálása és egyeztetés az érintett felekkel
• A kockázati szint monitorozása és rendszeres felülvizsgálata, visszacsatolás útján a kockázatmenedzsment folyamat javítása.
Az adatvédelmi kockázatmenedzsment folyamat során az alábbi tényezőket javasolja a szabvány figyelembe venni:
• Jogi és szabályozói tényezők, mint például jogszabályok, eseti döntések, hatósági állásfoglalások, üzemi tanácsi megállapodások
• Szerződéses tényezők, például BCR, adatfeldolgozói – közös adatkezelői kapcsolatok
• Üzleti tényezők, mint az iparág-specifikus folyamatok, az egyes adatkezelési tevékenységek sajátosságai, stb.
• Egyéb tényezők közé sorolja a szabvány az érintettek véleményét, a technikai kontroll környezetet vagy más technikai standardok előírásait (ilyen lehet például a bankkártya adatok kezelésével kapcsolatos Payment Card Industry Data Security Standards (PCI DSS) előírásai)
5. Adatvédelmi szabályzatok (privacy policies)
Az adatvédelmi irányítási keretrendszer legfontosabb eleme a megfelelően strukturált adatvédelmi szabályzat megalkotása és rendszeres felülvizsgálata, ami a GDPR 24. Cikk (2) bekezdése kifejezetten előírja.
A szabvány az alábbi főbb tartalmi elemeket azonosítja ezzel kapcsolatban:
• Az adatkezelő szervezet működéséhez, céljaihoz mérten arányos
• Keretet ad az adatvédelemi irányítási keretrendszer céljainak eléréséhez (pl. a GDPR alapelveinek betartásához szükséges folyamatok létrehozása, az adatalanyi jogosultságok támogatása, stb.)
• A felső vezetés felelősség- és kötelezettségvállalása az adatvédelem, valamint az adatvédelmi követelmények megtartása iránt
• Kötelezettség vállalás a rendszeres felülvizsgálat és az adatvédelmi irányítási keretrendszer fejlesztése iránt
• Az adatvédelmi szabályzat megfelelő közlése, mind szervezeten belül, mind azon kívül
6. Adatvédelmi kontrollok (privacy controls)
A GDPR egyik legfontosabb követelménye az adatkezelés biztonságának biztosítása, amely a megfelelő adatvédelmi kontrollokon keresztül történik. Utalva a privacy-by-design követelményekre, a kontroll környezet két fő összetevője a szervezési (pl. szabályzatok, előírások, munkafolyamat leírások) és a technikai kontrollok (pl. meghatározott technológiák használata). Maga az ISO 29100 : 2011 szabvány a főbb koncepcióit összeköti az ISO 27001 : 2013 szabvány fogalmaival.
Ezen összekötés mentén könnyen azonosíthatók az ISO 27001 szabvány „A” mellékletéből azok a technikai és szervezési kontroll követelmények, amelyek segítik a megfelelő szintű adatbiztonság és adatvédelem kialakítását, így különösen
• megfelelő információ biztonsági szabályok (A6)
• az emberi erőforrások biztonsága (A7)
• vagyonelemek kezelése (A8) – különösen az információk osztályozása, valamint az adathordozó életciklussal kapcsolatos követelmények
• hozzáférés-felügyelet (A9) – különösen a szükséges és legkevesebb hozzáférés elvének, valamint a rendszeres jogosultság-felülvizsgálatok elvégzésének követelményei
• titkosítás (A10) – különösen a kulcsmenedzsmenttel és titkosítási algoritmusok megfelelősségével kapcsolatos követelmények
• fizikai és környezeti biztonság (A11) – így a biztonsági zónák kialakítása, clean desk és clear screen szabályok
• [az informatikai rendszerek] üzemelés biztonsága (A12)
• a kommunikáció biztonsága (A13) – így a továbbított adatok védelme, csatorna titkosítások
• [informatikai, adatfeldolgozó] rendszerek beszerzése, fejlesztése és karbantartása (A14) – a beépített adatvédelem elveinek kikényszerítése a fejlesztési és változáskezelési folyamatokban
• szállítói kapcsolatok (A15) – amely folyamatra az adatfeldolgozói auditokat lehet építeni
• incidenskezelés (A16) – amelynek része lehet az adatvédelmi incidensek kezelése is (GDPR 33 – 34. Cikkei)
• a működésfolytonosság biztosításának információbiztonsági vonatkozásai (A17) – mivel szintén követelmény a GDPR-ban (32. Cikk), és külön incidens kategória a rendelkezésre állás megsértése
• Megfelelés (Compliance – A18) – melynek külön része az adatvédelmi megfelelés is
Fontos hangsúlyozni azonban, hogy egy ISO 27001 szerinti irányítási keretrendszer önmagában nem elégséges a GDPR követelményeinek való megfeleléshez, viszont rendkívül jó alapot szolgáltat ahhoz a szükséges és megfelelő szintű szervezési és technikai kontroll környezet biztosításával.
Összefoglaló;
Az adatvédelmi hatásvizsgálatok – azok kötelezősége okán – a jövőben kiemelt szerepet játszanak az adatvédelmi megfelelés biztosításában, mivel kockázatos adatkezelések esetében az elszámoltathatóság elve betartásának dokumentált igazolását teszik szükségessé az adatkezelő számára. Azaz, ha egy adatkezelés kockázatos adatkezelésként azonosítható, az adatvédelmi hatóságnak elegendő formálisan csupán annyit megállapítania, hogy nem történt meg az adatvédelmi hatásvizsgálat elkészítése az adatkezelő által.
Amennyiben valaki kockázatértékelés alapján a hatásvizsgálat elkészítése mellett dönt, lényeges követelmény annak egységes elveknek megfelelő és reprodukálható elvégzése, oly módon, hogy a hatásvizsgálat mellett annak pontos módszertana is dokumentáltan az adatkezelő rendelkezésére álljon, mellyel alá lehet támasztani a hatásvizsgálat eredményét.
Nagyban hozzájárul az adatkezelésekkel járó kockázatok kezeléséhez a kiépített és megfelelően működtetett adatvédelmi irányítási keretrendszer, amely biztosítja, hogy a hatásvizsgálatokat az adatkezelő a megfelelő időben elvégezze.
A hatásvizsgálati követelmény egyedüli küszöbe az adatkezelés kockázatossága, azaz a hatásvizsgálati kötelezettség nem függ az adatkezelő méretétől, azaz a mikro adatkezelőktől kezdve a legnagyobb adatkezelőkig mindenki a kötelezettek körébe tartozik. Lényeges szerep jut ezért az adatvédelmi hatóságok által közzétett szürke és fehér listáknak, továbbá az adatvédelmi hatóságok kis és középvállalkozásokat támogató hozzáállásának, melyre már most is számos jó példával járnak előre egyes nyugat európai adatvédelmi hatóságok.
