T\u00f6bb mint egy \u00e9ve v\u00e1lt alkalmazand\u00f3v\u00e1 az EU 679\/2018. sz\u00e1m\u00fa rendelete, az Eur\u00f3pai Uni\u00f3 \u00c1ltal\u00e1nos Adatv\u00e9delmi Rendelete, a GDPR (\u201eRendelet\u201d), amely az eur\u00f3pai adatv\u00e9delmi ir\u00e1nyelvet (95\/46\/EK) \u00e9s az Infot\u00f6rv\u00e9nyt (2011. \u00e9vi CXII. t\u00f6rv\u00e9ny) megel\u0151z\u0151 jogi helyzethez k\u00e9pest nagyobb felel\u0151ss\u00e9get, illet\u0151leg k\u00f6telezetts\u00e9geket \u00e1llap\u00edtott meg az adatfeldolgoz\u00f3k r\u00e9sz\u00e9re.<\/p>\n
A Rendelet 4. cikk 8. pontja \u00e9rtelm\u00e9ben \u201eadatfeldolgoz\u00f3\u201d az a term\u00e9szetes vagy jogi szem\u00e9ly, k\u00f6zhatalmi szerv, \u00fcgyn\u00f6ks\u00e9g vagy b\u00e1rmely egy\u00e9b szerv, amely az adatkezel\u0151 nev\u00e9ben szem\u00e9lyes adatokat kezel. A Rendelet 29. cikke \u00e9rtelm\u00e9ben az adatfeldolgoz\u00f3 a szem\u00e9lyes adatokat csak az adatkezel\u0151 utas\u00edt\u00e1s\u00e1nak megfelel\u0151en kezelheti, ez\u00e9rt nem min\u0151s\u00fcl harmadik szem\u00e9lynek, hanem az adatkezel\u00e9s bels\u0151 k\u00f6r\u00e9be tartoz\u00f3 szem\u00e9ly, akinek tev\u00e9kenys\u00e9ge az adatkezel\u0151nek betudhat\u00f3 \u00e9s a szem\u00e9lyes adatok adatkezel\u00e9s\u00e9re val\u00f3 \u00e1tad\u00e1s\u00e1hoz ez\u00e9rt nincs sz\u00fcks\u00e9g k\u00fcl\u00f6n jogalapra. A Rendelet adatfeldolgoz\u00f3 k\u00f6telezetts\u00e9geivel kapcsolatos k\u00f6zponti rendelkez\u00e9se a GDPR 28. cikke, amely az adatkezel\u0151 k\u00f6telezetts\u00e9g\u00e9v\u00e9 teszi annak vizsg\u00e1lat\u00e1t, hogy a szem\u00e9lyes adatok kezel\u00e9s\u00e9t olyan szem\u00e9lyre b\u00edzza r\u00e1, amely megfelel\u0151 garanci\u00e1kat ny\u00fajt az adatkezel\u00e9s Rendelet k\u00f6vetelm\u00e9nyeinek val\u00f3 megfelel\u00e9s\u00e9re \u00e9s az \u00e9rintettek jogainak v\u00e9delm\u00e9t biztos\u00edt\u00f3, megfelel\u0151 technikai \u00e9s szervez\u00e9si int\u00e9zked\u00e9sek v\u00e9grehajt\u00e1s\u00e1ra. Ennek szab\u00e1lyoz\u00e1si indoka, hogy nem cs\u00f6kkenhet az \u00e9rintettek magas v\u00e9delmi szintje az\u00e1ltal, hogy az adatkezel\u0151 a d\u00f6nt\u00e9se alapj\u00e1n m\u00e1s szem\u00e9lyhez szervezi ki az adatkezel\u00e9st.<\/p>\n
A Rendelet 28. cikk (3) bekezd\u00e9s h) pontja k\u00f6telez\u0151v\u00e9 teszi egyr\u00e9szr\u0151l az adatfeldolgoz\u00f3k megfelel\u0151 ellen\u0151rz\u00e9s\u00e9t (pl. due diligence elv\u00e9gz\u00e9s\u00e9t) a szerz\u0151d\u00e9s megk\u00f6t\u00e9s\u00e9t megel\u0151z\u0151en, illet\u0151leg sz\u00fcks\u00e9gess\u00e9 teszi olyan int\u00e9zked\u00e9sek alkalmaz\u00e1s\u00e1t, amelyek a szerz\u0151d\u00e9ses jogviszony folyamatos fel\u00fcgyelet\u00e9t biztos\u00edtja, melynek r\u00e9sze az audit jog, amely nem csup\u00e1n jogosults\u00e1gk\u00e9nt, de a Rendelet szab\u00e1lyoz\u00e1s\u00e1b\u00f3l ad\u00f3d\u00f3an k\u00f6telezetts\u00e9gk\u00e9nt jelenik meg az adatkezel\u0151 oldal\u00e1n.<\/p>\n
A GDPR mindazon\u00e1ltal semmilyen r\u00e9szletes szab\u00e1lyoz\u00e1st nem tartalmaz sem az audit jog tartalm\u00e1ra, sem annak gyakorl\u00e1s\u00e1ra vonatkoz\u00f3an. Az eur\u00f3pai adatv\u00e9delmi joggyakorlat sem ad egys\u00e9ges ir\u00e1nymutat\u00e1st e tekintetben, annak ellen\u00e9re, hogy az adatkezel\u0151vel szemben fenn\u00e1ll\u00f3 elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9b\u0151l fakad\u00f3an e tev\u00e9kenys\u00e9g is r\u00e9sze az adatv\u00e9delmi compliance menedzsment tev\u00e9kenys\u00e9geknek.<\/p>\n
Mi\u00e9rt sz\u00fcks\u00e9ges az adatfeldolgoz\u00f3k audit\u00e1l\u00e1sa?<\/b>
\nA jelenleg hat\u00e1lyos adatv\u00e9delmi jogszab\u00e1lyi el\u0151\u00edr\u00e1sok mellett az \u00e1ltal\u00e1nos m\u0171k\u00f6d\u00e9si, adatv\u00e9delmi kock\u00e1zatkezel\u00e9si tev\u00e9kenys\u00e9gek r\u00e9sze kell, hogy legyen az adatkezel\u0151 szervezet k\u00fcls\u0151 partnereinek kock\u00e1zatalap\u00fa, rendszeres audit\u00e1l\u00e1sa. Az \u00e9vr\u0151l-\u00e9vre megjelen\u0151 k\u00fcl\u00f6nb\u00f6z\u0151 inform\u00e1ci\u00f3biztons\u00e1gi \u00e9s adatv\u00e9delmi incidens riportok az \u00e9vtized elej\u00e9t\u0151l kezd\u0151d\u0151en trendk\u00e9nt mutatj\u00e1k be, hogy a bek\u00f6vetkezett adatveszt\u00e9ssel j\u00e1r\u00f3 esem\u00e9nyek egyre nagyobb r\u00e9sze a besz\u00e1ll\u00edt\u00f3i (adatfeldolgoz\u00f3i) l\u00e1ncon kereszt\u00fcl t\u00f6rt\u00e9nik. Az Eur\u00f3pai Uni\u00f3s H\u00e1l\u00f3zat- \u00e9s Inform\u00e1ci\u00f3biztons\u00e1gi \u00dcgyn\u00f6ks\u00e9g (ENISA) \u00e1ltal \u00e9vente kiadott kiberbiztons\u00e1gi fenyegetetts\u00e9g jelent\u00e9s kiemeli, hogy az \u201einsider threat\u201d k\u00f6zvetve vagy k\u00f6zvetlen\u00fcl a besz\u00e1ll\u00edt\u00f3i l\u00e1ncot \u00e9rint\u0151 t\u00e1mad\u00e1sokban manifeszt\u00e1l\u00f3dhat (\u201cThreat actors, especially advanced ones, are making progress in using the supply chain to achieve their objectives. In 2018, a hardware attack has made headlines and led to controversial discussions. Despite this single incident, numerous supply chain attacks are assumed to take place, mainly launched by high capability agents. Assessments hereto have led to the conclusion that supply chain attacks are to be considered as a \u201ckey threat\u201d.\u201d – 118. oldal, ENISA Threat Landscape Report 2018).<\/p>\n
Az adatfeldolgoz\u00f3i l\u00e1nc biztos\u00edt\u00e1s\u00e1nak \u00e9s a bels\u0151 aktorokkal szembeni v\u00e9dekez\u00e9snek a kiemelt fontoss\u00e1g\u00e1t az adja, hogy a Verizon 2019-ben k\u00f6zz\u00e9tett Data Breach Investigations Report-ja szerint az adatveszt\u00e9ssel j\u00e1r\u00f3 [adatv\u00e9delmi] incidensek k\u00f6zel k\u00e9tharmada a [adatkezel\u0151] szervezeten k\u00edv\u00fcli k\u00fcls\u0151 okok, m\u00edg k\u00f6zel egyharmada bels\u0151 szerepl\u0151k miatt k\u00f6vetkezett be, amellett, hogy az incidensek 56%-ban a bek\u00f6vetkez\u00e9s \u00e9s az [adatkezel\u0151i] \u00e9szlel\u00e9s k\u00f6z\u00f6tt t\u00f6bb, mint egy h\u00f3nap telt el.<\/p>\n
Ennek gyakorlati folyom\u00e1nya, hogy l\u00e9nyeg\u00e9ben az adatfeldolgoz\u00f3i l\u00e1ncon kereszt\u00fcl bek\u00f6vetkez\u0151 adatv\u00e9delmi incidens megt\u00f6rt\u00e9nte csak id\u0151 k\u00e9rd\u00e9se; nagyon nem mindegy azonban, hogy ez az adatv\u00e9delmi incidens milyen hat\u00e1ssal \u00e9s k\u00f6vetkezm\u00e9nyekkel j\u00e1r. Az audit jog gyakorl\u00e1sa ugyanis szint\u00e9n kock\u00e1zatkezel\u00e9si tev\u00e9kenys\u00e9g az adatkezel\u0151 r\u00e9sz\u00e9r\u0151l, amellyel az \u00fczleti c\u00e9lok \u00e9s \u00e9rdekek megv\u00e9dhet\u0151k.<\/p>\n
Mit kell audit\u00e1lni?<\/b>
\nAz eur\u00f3pai adatv\u00e9delmi gyakorlati \u00fatmutat\u00e1sai hi\u00e1ny\u00e1ban az egyes nyugat-eur\u00f3pai adatv\u00e9delmi fel\u00fcgyeleti hat\u00f3s\u00e1gok kialak\u00edtott\u00e1k maguknak a saj\u00e1tos \u2013 jellemz\u0151en nemzetk\u00f6zi szabv\u00e1nyokhoz, nemzetk\u00f6zi legjobb gyakorlathoz igazod\u00f3 \u2013 audit m\u00f3dszertanukat. \u00cdgy p\u00e9ld\u00e1ul a francia adatv\u00e9delmi hat\u00f3s\u00e1g, a CNIL (Commission Nationale de l’Informatique et des Libert\u00e9s) auditjai jogi \u00e9s technikai vizsg\u00e1latokat k\u00fcl\u00f6nb\u00f6ztetnek meg, amelyek \u00f6sszess\u00e9ge sz\u00fcks\u00e9ges a sikeres audithoz. Az angol adatv\u00e9delmi hat\u00f3s\u00e1g, az ICO (Information Commissioner\u2019s Office) ir\u00e1nymutat\u00e1sa a klasszikus audit gyakorlatot k\u00f6veti \u00e9s az al\u00e1bbi f\u0151bb tev\u00e9kenys\u00e9geket fedi le: (i) audit tervez\u00e9s \u00e9s kock\u00e1zatelemz\u00e9s; (ii) audit scope meghat\u00e1roz\u00e1sa; (iii) audit evidenci\u00e1k gy\u0171jt\u00e9se \u00e9s \u00e9rt\u00e9kel\u00e9se; (iv) audit jelent\u00e9s elk\u00e9sz\u00edt\u00e9se \u00e9s v\u00e9gleges\u00edt\u00e9se; (v) k\u00f6vet\u0151 auditok \u00e9s monitoring.<\/p>\n
A megk\u00f6zel\u00edt\u00e9seket vegy\u00edtve teh\u00e1t az adatkezel\u0151nek els\u0151sorban rendelkeznie kell egy olyan audit folyamattal \u00e9s m\u00f3dszertannal, amely alapj\u00e1n kock\u00e1zati alapon \u00e9rt\u00e9kelni tudja az adatfeldolgoz\u00f3it \u00e9s a magasabb kock\u00e1zat\u00fa adatkezel\u00e9st v\u00e9gz\u0151ket pl. \u00e9vente, a k\u00f6zepes kock\u00e1zat\u00fa adatfeldolgoz\u00f3kat k\u00e9t \u00e9vente az enn\u00e9l alacsonyabb kock\u00e1zat\u00faakat pedig pl. h\u00e1rom \u00e9vente audit\u00e1lja.<\/p>\n
A hat\u00e1lyos magyar p\u00e9nzint\u00e9zeti szab\u00e1lyoz\u00e1s enn\u00e9l viszont m\u00e9lyebb k\u00f6telezetts\u00e9get defini\u00e1l, mert a Hpt. 68. \u00a7 (6) bekezd\u00e9s\u00e9re figyelemmel a hitelint\u00e9zet bels\u0151 ellen\u0151rz\u00e9s\u00e9nek a kiszervezett tev\u00e9kenys\u00e9g szerz\u0151d\u00e9sben foglaltaknak megfelel\u0151 v\u00e9gz\u00e9s\u00e9t legal\u00e1bb \u00e9vente meg kell vizsg\u00e1lnia.<\/p>\n
Az audit sor\u00e1n nem elegend\u0151 csak \u00e9s kiz\u00e1r\u00f3lag az adatfeldolgoz\u00f3i szerz\u0151d\u00e9snek val\u00f3 megfelel\u00e9s vizsg\u00e1lata. Az audit hat\u00f3k\u00f6r\u00e9be c\u00e9lszer\u0171 az adatfeldolgoz\u00f3 adatv\u00e9delmi \u00e9s\/vagy inform\u00e1ci\u00f3 biztons\u00e1gi menedzsment rendszer\u00e9t is bevonni az adatfeldolgoz\u00f3i szerz\u0151d\u00e9s teljes\u00edt\u00e9s\u00e9hez sz\u00fcks\u00e9ges m\u00e9rt\u00e9kben az adatfeldolgoz\u00f3i k\u00f6telezetts\u00e9gek, a bels\u0151 munkautas\u00edt\u00e1sokat \u00e9s dokumentumokat, adatfeldolgoz\u00f3i szolg\u00e1ltat\u00e1si szinteket, valamint az adatkezel\u0151t \u00e9rint\u0151 teljes adatkezel\u00e9si folyamat vizsg\u00e1lata mellett. Az audit hat\u00f3k\u00f6r meghat\u00e1roz\u00e1s\u00e1ban az adatfeldolgoz\u00f3i szerz\u0151d\u00e9ssel kell \u00f6sszhangban elj\u00e1rni \u00e9s emiatt az adatfeldolgoz\u00f3 \u00e1ltal teljes\u00edtend\u0151 szervez\u00e9si \u00e9s technikai k\u00f6vetelm\u00e9nyeket m\u00e1r eleve olyan nemzetk\u00f6zi szabv\u00e1nyhoz (pl. a m\u00e1r hivatkozott ISO\/IEC 27000 szabv\u00e1nycsal\u00e1d) c\u00e9lszer\u0171 igaz\u00edtani, amely lehet\u0151v\u00e9 teszi a k\u00e9s\u0151bbi audit\u00e1lhat\u00f3s\u00e1got.<\/p>\n
A GDPR 32. cikk (1) bekezd\u00e9s d) pontja szerint az adatkezel\u0151nek rendelkeznie kell az adatkezel\u00e9s biztons\u00e1g\u00e1nak garant\u00e1l\u00e1s\u00e1ra hozott technikai \u00e9s szervez\u00e9si int\u00e9zked\u00e9sek hat\u00e9konys\u00e1g\u00e1nak rendszeres tesztel\u00e9s\u00e9re, felm\u00e9r\u00e9s\u00e9re \u00e9s \u00e9rt\u00e9kel\u00e9s\u00e9re szolg\u00e1l\u00f3 elj\u00e1r\u00e1ssal. Ez az adatfeldolgoz\u00f3i auditok eset\u00e9ben azt is jelenti, hogy az egyes kontrollok megl\u00e9te mellett sz\u00fcks\u00e9ges ezen kontrollok hat\u00e9konys\u00e1g\u00e1t is m\u00e9rni (a kontroll hat\u00e9konys\u00e1ga alatt azt \u00e9rtj\u00fck, hogy a kontroll milyen eredm\u00e9nyesen k\u00e9pes ell\u00e1tni a tervezett funkci\u00f3j\u00e1t \u00e9s kezelni a kapcsol\u00f3d\u00f3 kock\u00e1zatokat). A kontroll hat\u00e9konys\u00e1g m\u00e9r\u00e9s\u00e9hez sz\u00fcks\u00e9ges tesztl\u00e9p\u00e9sek (azaz pl., hogy rendelkezik-e az adatfeldolgoz\u00f3 bels\u0151 adatv\u00e9delmi szab\u00e1lyzattal, milyen gyakoris\u00e1ggal friss\u00edtik, van-e k\u00f6telez\u0151 oktat\u00e1s azzal kapcsolatban; vagy pl. egy informatikai rendszerben a t\u00e9nylegesen be\u00e1ll\u00edtott jogosults\u00e1gok \u00e9s a nyilv\u00e1ntartott jogosults\u00e1gok \u00f6sszevet\u00e9se, annak meg\u00e1llap\u00edt\u00e1s\u00e1ra, hogy a volt munkav\u00e1llal\u00f3k hozz\u00e1f\u00e9r\u00e9si jogosults\u00e1gait visszavont\u00e1k-e, \u00e9s ezt id\u0151ben tett\u00e9k-e) \u00e9s az egyes audit evidenci\u00e1k le\u00edr\u00e1sa (pl. jogosults\u00e1g nyilv\u00e1ntart\u00e1s, rendszer be\u00e1ll\u00edt\u00e1sok konfigur\u00e1ci\u00f3ja, tov\u00e1bbi adatfeldolgoz\u00f3i szerz\u0151d\u00e9sek) szint\u00e9n az audit m\u00f3dszertan r\u00e9sz\u00e9t kell, hogy k\u00e9pezze. Szint\u00e9n az audit r\u00e9sz\u00e9t kell k\u00e9peznie az egyes, profilalkot\u00e1sra vagy automatikus d\u00f6nt\u00e9shozatalra szolg\u00e1l\u00f3 adatfeldolgoz\u00f3i logikai algoritmusok tesztel\u00e9se \u00e9s audit\u00e1l\u00e1sa is; azaz vizsg\u00e1lni kell, hogy az algoritmus milyen ar\u00e1nyban ad false positive vagy false negative eredm\u00e9nyeket, milyen hat\u00e9konys\u00e1ggal ad konzisztens, az adatkezel\u00e9s c\u00e9lj\u00e1val egyez\u0151 eredm\u00e9nyt, amely\u00e9rt az adatkezel\u0151 felel\u0151ss\u00e9ggel tartozik.<\/p>\n
A jogszab\u00e1ly nem \u00edrja, de az adatfeldolgoz\u00f3i auditot lefolytat\u00f3knak rendelkezni\u00fck kell a sz\u00fcks\u00e9ges el\u0151k\u00e9pzetts\u00e9ggel \u00e9s tapasztalattal. Mivel maga az audit is egy adatv\u00e9delmi jogi \u00e9s adatv\u00e9delmi technikai, informatikai audit, ez\u00e9rt sz\u00fcks\u00e9gszer\u0171, hogy ilyen ter\u00fcleten j\u00e1rtas szakemberek v\u00e9gezz\u00e9k el. A CNIL \u00e9s az ICO \u00fatmutat\u00e1saiban pl. k\u00f6z\u00f6s, hogy mindkett\u0151 az ISO\/IEC 27000 inform\u00e1ci\u00f3 biztons\u00e1gi szabv\u00e1nycsal\u00e1dot veszi alapul \u00e9s az audit technikai lefolytat\u00e1s\u00e1t ISO 27001 Lead Auditor-i min\u0151s\u00edt\u00e9shez k\u00f6ti (megjegyzend\u0151, hogy az auditok technikai r\u00e9sz\u00e9hez val\u00f3sz\u00edn\u0171leg m\u00e1s, \u00e1ltal\u00e1nosan elismert inform\u00e1ci\u00f3biztons\u00e1gi min\u0151s\u00edt\u00e9sek, mint pl. CISA, CISM min\u0151s\u00edt\u00e9sek is megfelel\u0151ek lehetnek, m\u00edg a jogi audit elv\u00e9gz\u00e9s\u00e9t c\u00e9lszer\u0171 CIPP\/E min\u0151s\u00edt\u00e9ssel rendelkez\u0151 szem\u00e9lynek v\u00e9geznie). Magyarorsz\u00e1gon a p\u00e9nzint\u00e9zeti szektorban, illetve az \u00e1llami \u00e9s \u00f6nkorm\u00e1nyzati szervek inform\u00e1ci\u00f3biztons\u00e1g\u00e1val kapcsolatban els\u0151sorban az amerikai NIST (National Institute of Standards and Technology) m\u00f3dszertan\u00e1hoz k\u00f6zel\u00e1ll\u00f3 m\u00f3dszertan honosodott meg. J\u00f3 gyakorlatnak sz\u00e1m\u00edt, hogy ha az audit m\u00f3dszertan is ennek megfelel\u0151en nemzetk\u00f6zileg ismert \u00e9s haszn\u00e1lt szabv\u00e1ny \u00e1ltal meghat\u00e1rozott kontroll k\u00f6vetelm\u00e9nyeket vizsg\u00e1l.<\/p>\n
Az informatika fejl\u0151d\u00e9s\u00e9vel bizonyos szolg\u00e1ltat\u00e1sok gyakorlatilag k\u00f6zm\u0171k\u00e9nt kezdtek el viselkedni. Gyakori, hogy az adatkezel\u0151 valamilyen felh\u0151 szolg\u00e1ltat\u00e1st vesz ig\u00e9nybe az adatkezel\u00e9s\u00e9hez. A felh\u0151 szolg\u00e1ltat\u00f3 gyakran tov\u00e1bbi adatfeldolgoz\u00f3k\u00e9nt jelenik meg az adatkezel\u00e9si strukt\u00far\u00e1ban, ez\u00e9rt k\u00fcl\u00f6n\u00f6sen fontos, hogy m\u00e1r a f\u0151 adatfeldolgoz\u00f3i szerz\u0151d\u00e9s is megfelel\u0151en defini\u00e1lja azokat a szervez\u00e9si \u00e9s technikai int\u00e9zked\u00e9seket, amelyeket a felh\u0151szolg\u00e1ltat\u00e1s jellege \u00e9s specialit\u00e1sa indokol (ilyen lehet p\u00e9ld\u00e1ul az \u00e1ltal\u00e1nos jelleggel a felh\u0151biztons\u00e1ggal kapcsolatos ISO\/IEC 27017 \u00e9s adatv\u00e9delmi szempontb\u00f3l speci\u00e1lis ISO\/IEC 27018 szabv\u00e1ny el\u0151\u00edr\u00e1sai). Magyarorsz\u00e1gon a p\u00e9nzint\u00e9zeti szektorban az MNB 4\/2019 (IV.1.) sz\u00e1m\u00fa aj\u00e1nl\u00e1sa m\u00e1s logik\u00e1t k\u00f6vetve mutatja be a kiszervez\u00e9ssel (l\u00e9nyeg\u00e9ben az adatfeldolgoz\u00f3i szerz\u0151d\u00e9s tartalm\u00e1nak meghat\u00e1roz\u00e1s\u00e1val) kapcsolatos teend\u0151ket. Az MNB aj\u00e1nl\u00e1s ford\u00edtott logika ment\u00e9n a bizonyoss\u00e1gszerz\u00e9s kifejez\u00e9st haszn\u00e1lja azzal kapcsolatban, hogy a p\u00e9nzint\u00e9zet milyen form\u00e1ban gy\u0151z\u0151dik meg felh\u0151szolg\u00e1ltat\u00f3 kock\u00e1zatcs\u00f6kkent\u0151 int\u00e9zked\u00e9seinek megval\u00f3sul\u00e1s\u00e1r\u00f3l. A bizonyoss\u00e1gszerz\u00e9s pedig rendre csak az adatfeldolgoz\u00f3i auditok v\u00e9grehajt\u00e1s\u00e1val szerezhet\u0151.<\/p>\n
Jellemz\u0151en a nagyobb, glob\u00e1lis adatfeldolgoz\u00f3k, mint szolg\u00e1ltat\u00f3k tov\u00e1bbi adatfeldolgoz\u00f3k\u00e9nt elj\u00e1rva korl\u00e1tozott audit\u00e1lhat\u00f3s\u00e1got engednek meg. Megold\u00e1sk\u00e9nt a harmadik, f\u00fcggetlen auditor felek \u00e1ltal ki\u00e1ll\u00edtott, \u00e9vente fel\u00fclvizsg\u00e1lt (pl. SOC 2 Type II) jelent\u00e9seket adnak k\u00f6zre. Ez azonban \u00f6nmag\u00e1ban nem jelenti az adatfeldolgoz\u00f3i audit v\u00e9grehajt\u00e1s\u00e1t. Egyet\u00e9rt\u00fcnk az MNB \u00e1ll\u00e1spontj\u00e1val, hogy egy ilyen jelent\u00e9s megl\u00e9te kock\u00e1zatcs\u00f6kkent\u0151 t\u00e9nyez\u0151k\u00e9nt kezelend\u0151, de emiatt a t\u00f6bbi, adatfeldolgoz\u00f3i audit l\u00e9p\u00e9s sem mell\u0151zhet\u0151 ezen szolg\u00e1ltat\u00f3kkal szemben. Hasonl\u00f3an, az adatfeldolgoz\u00f3i szolg\u00e1ltat\u00e1si szintek (SLA – Service Level Agreements) rendszeres monitoroz\u00e1sa hozz\u00e1tartozik a j\u00f3 v\u00e1llalatvezet\u00e9si gyakorlathoz, de nem helyettes\u00edti az adatfeldolgoz\u00f3i auditokat.<\/p>\n
Az audit jog terjedelme \u00e9s az adatfeldolgoz\u00f3i szerz\u0151d\u00e9s<\/b>
\nAz eredm\u00e9nyes adatfeldolgoz\u00f3i audithoz az adatfeldolgoz\u00f3i szerz\u0151d\u00e9sben sz\u00fcks\u00e9ges \u00e9s k\u00f6telez\u0151 az audit jog kik\u00f6t\u00e9se. A fentebb kifejtettekre figyelemmel az audit jognak \u00e9s az adatfeldolgoz\u00f3i szerz\u0151d\u00e9snek a helysz\u00edni vizsg\u00e1latok mellett javasolt kiterjednie az al\u00e1bbiakra is:
\n\u2022\tadatkezel\u0151 rendszerekhez val\u00f3 logikai \u00e9s fizikai hozz\u00e1f\u00e9r\u00e9s;
\n\u2022\tadatfeldolgoz\u00f3 szab\u00e1lyzatai, bels\u0151 dokumentumai;
\n\u2022\taz adatkezel\u0151re vonatkoz\u00f3 adatkezel\u00e9si munkautas\u00edt\u00e1sok;
\n\u2022\ttov\u00e1bbi adatfeldolgoz\u00f3kra vonatkoz\u00f3 k\u00f6telezetts\u00e9gek, szerz\u0151d\u00e9sek \u00e9s utas\u00edt\u00e1sokhoz val\u00f3 hozz\u00e1f\u00e9r\u00e9s;
\n\u2022\talkalmazott profilalkot\u00e1si \u00e9s\/vagy automatikus d\u00f6nt\u00e9shozatali algoritmusok l\u00e9nyegi \u00e9s technikai le\u00edr\u00e1s\u00e1hoz, dokument\u00e1ci\u00f3j\u00e1hoz val\u00f3 hozz\u00e1f\u00e9r\u00e9s (az \u00fczleti titok jellege miatt korl\u00e1tozottan)
\n\u2022\taz audit jog gyakorl\u00e1s\u00e1nak k\u00fcl\u00f6n ellen\u00e9rt\u00e9k n\u00e9lk\u00fclis\u00e9ge (A bajor adatv\u00e9delmi biztos \u00e1ll\u00e1spontja, hogy az audit jog gyakorl\u00e1sa nem k\u00f6thet\u0151 k\u00fcl\u00f6n ellen\u00e9rt\u00e9k megfizet\u00e9s\u00e9hez);
\n\u2022\taudit follow-up a kor\u00e1bban kock\u00e1zatosnak min\u0151s\u00edtett terelteteken, kontrollokkal kapcsolatban.<\/p>\n
Az adatfeldolgoz\u00f3i szerz\u0151d\u00e9sben c\u00e9lszer\u0171 a fentiek mellett a jogszab\u00e1lyi el\u0151\u00edr\u00e1son t\u00falmen\u0151en figyelemmel lenni \u00e9s szerz\u0151d\u00e9ses \u00faton rendezni tov\u00e1bb\u00e1
\n\u2022\tadatv\u00e9delmi incidensekkel kapcsolatos elj\u00e1r\u00e1sokat, bele\u00e9rtve az \u00e9rtes\u00edtend\u0151 kapcsolattart\u00f3kat, eszkal\u00e1ci\u00f3s \u00e9s d\u00f6nt\u00e9si szinteket;
\n\u2022\tadatv\u00e9delmi incidenskezel\u00e9si forgat\u00f3k\u00f6nyvek kidolgoz\u00e1sa, implement\u00e1l\u00e1sa \u00e9s azok rendszeres tesztel\u00e9se;
\n\u2022\taz audit report v\u00e9gleges\u00edt\u00e9se, az egyes audit meg\u00e1llap\u00edt\u00e1sokhoz kapcsol\u00f3d\u00f3 kock\u00e1zati szintek k\u00f6z\u00f6s \u00e9rtelmez\u00e9se \u00e9s j\u00f3v\u00e1hagy\u00e1s\u00e1nak a rendje;
\n\u2022\ta felt\u00e1rt audit hi\u00e1nyoss\u00e1gok \u00e9s a kapcsol\u00f3d\u00f3 hat\u00e1rid\u0151k kezel\u00e9se; a hi\u00e1nyz\u00f3 vagy nem megfelel\u0151 kontrollok jav\u00edt\u00e1s\u00e1nak kapcsol\u00f3d\u00f3 k\u00f6lts\u00e9gei, annak visel\u00e9s\u00e9nek m\u00f3dja \u00e9s rendje;
\n\u2022\tobjekt\u00edv \u00e9s m\u00e9rhet\u0151 adatfeldolgoz\u00f3i szolg\u00e1ltat\u00e1si szintek (Service Level Agreements) meghat\u00e1roz\u00e1sa; szolg\u00e1ltat\u00e1si szint eszkal\u00e1l\u00e1si \u00e9s vitarendez\u00e9si folyamatok szerz\u0151d\u00e9ses rendez\u00e9se;
\n\u2022\tv\u00e1ltoz\u00e1sok kezel\u00e9se az adatkezel\u00e9si folyamatban; \u00faj adatkezel\u00e9si eszk\u00f6z\u00f6k bevezet\u00e9se \u00e9s alkalmaz\u00e1sa;
\n\u2022\tkock\u00e1zatar\u00e1nyos m\u00f3don az elv\u00e1rt adatv\u00e9delmi min\u0151s\u00edt\u00e9sek, tan\u00fas\u00edt\u00e1sok megszerz\u00e9se \u00e9s fenntart\u00e1sa;
\n\u2022\taz adatkezel\u00e9st \u00e9rint\u0151 vis maior esetek defini\u00e1l\u00e1sa;
\n\u2022\tkock\u00e1zatar\u00e1nyos m\u00f3don bels\u0151 vizsg\u00e1lat kezdem\u00e9nyez\u00e9se \u00e9s lefolytat\u00e1s\u00e1nak k\u00f6telezetts\u00e9ge felt\u00e1rt hi\u00e1nyoss\u00e1g, vissza\u00e9l\u00e9s vagy adatv\u00e9delmi incidens eset\u00e9n;
\n\u2022\tnemzetk\u00f6zi adattov\u00e1bb\u00edt\u00e1si k\u00e9rd\u00e9sek \u00e9s tov\u00e1bbi adatfeldolgoz\u00f3k ellen\u0151rizhet\u0151s\u00e9ge;
\n\u2022\taudit v\u00e9gz\u00e9s\u00e9vel kapcsolatos egy\u00fcttm\u0171k\u00f6d\u00e9si k\u00f6telezetts\u00e9gek el\u0151\u00edr\u00e1sa \u00e9s az audit akad\u00e1lyoz\u00e1s\u00e1val kapcsolatos szankci\u00f3k rendez\u00e9se.<\/p>\n
\u00d6sszegz\u00e9s<\/b>
\nAz Eur\u00f3pai Uni\u00f3 \u00c1ltal\u00e1nos Adatv\u00e9delmi Rendelete a szem\u00e9lyes adatok kezel\u00e9s\u00e9vel kapcsolatos kiszervez\u00e9sekkel kapcsolatosan \u00faj k\u00f6telezetts\u00e9geket r\u00f6gz\u00edt, mivel az adatkezel\u0151t\u0151l megk\u00f6veteli annak el\u0151zetes felm\u00e9r\u00e9s\u00e9t, hogy a kiszervez\u00e9s milyen el\u0151ny\u00f6kkel \u00e9s h\u00e1tr\u00e1nyokkal j\u00e1rhat, milyen kock\u00e1zatokat hordoz, annak melyek a jogszab\u00e1lyi felt\u00e9telei, milyen k\u00f6vetelm\u00e9nyeket sz\u00fcks\u00e9ges t\u00e1masztani a szolg\u00e1ltat\u00f3val szemben, \u00e9s kiszervez\u00e9s megsz\u0171n\u00e9se eset\u00e9n mi legyen a szerz\u0151d\u00e9sb\u0151l val\u00f3 kil\u00e9p\u00e9si strat\u00e9gia. Az elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9b\u0151l ad\u00f3t\u00f3an a magasabb kock\u00e1zat a szolg\u00e1ltat\u00f3i kapcsolat ellen\u0151rz\u00e9s\u00e9nek szofisztik\u00e1ltabb eszk\u00f6zeit \u00e9s komolyabb kontrollokat ig\u00e9nyel, melynek r\u00e9sze a szolg\u00e1ltat\u00f3i kapcsolat rendszeres figyelemmel k\u00eds\u00e9r\u00e9se, t\u00f6bbek k\u00f6z\u00f6tt a helysz\u00edni audit ig\u00e9nybev\u00e9tel\u00e9vel. Az audit jog ebb\u0151l a szempontb\u00f3l nem csup\u00e1n jog, hanem az adatkezel\u0151 k\u00f6telezetts\u00e9ge, melyet olyan rendszeress\u00e9ggel sz\u00fcks\u00e9ges gyakorolni, ami a kiszervez\u00e9s \u00e1ltal hordozott kock\u00e1zatokkal \u00f6sszhangban \u00e1ll. Mivel az audit jog gyakorl\u00e1s\u00e1t \u00e9s m\u00f3dszertan\u00e1t jogszab\u00e1ly nem szab\u00e1lyozza, ezzel kapcsolatosan komolyabb szerep jut a szakmai \u00fatmutat\u00e1soknak, v\u00e1llalati j\u00f3 gyakorlatoknak \u00e9s tan\u00fas\u00edt\u00e1soknak, amelyek alkalmasak arra, hogy az adatkezel\u0151 a Rendelet szerinti elsz\u00e1moltathat\u00f3s\u00e1gi k\u00f6telezetts\u00e9g\u00e9nek eleget tegyen. Amennyiben ugyanis egy adatkezel\u0151r\u0151l meg\u00e1llap\u00edthat\u00f3, hogy nem rendelt megfelel\u0151 er\u0151forr\u00e1sokat az audit jog gyakorl\u00e1s\u00e1ra, az audit jogot nem gyakorolta \u00e9s ez az int\u00e9zked\u00e9s az \u00e9rintettek jogainak v\u00e9delm\u00e9t megfelel\u0151en biztos\u00edtani tudta volna, ez olyan k\u00f6r\u00fclm\u00e9nynek min\u0151s\u00fcl, amely egy esetleges b\u00edrs\u00e1gkiszab\u00e1s sor\u00e1n az adatkezel\u0151 terh\u00e9re fog esni.<\/p>\n","protected":false},"excerpt":{"rendered":"
T\u00f6bb mint egy \u00e9ve v\u00e1lt alkalmazand\u00f3v\u00e1 az EU 679\/2018. sz\u00e1m\u00fa rendelete, az Eur\u00f3pai Uni\u00f3 \u00c1ltal\u00e1nos Adatv\u00e9delmi Rendelete, a GDPR (\u201eRendelet\u201d), amely az eur\u00f3pai adatv\u00e9delmi ir\u00e1nyelvet (95\/46\/EK) \u00e9s az Infot\u00f6rv\u00e9nyt (2011. \u00e9vi CXII. t\u00f6rv\u00e9ny) megel\u0151z\u0151 jogi helyzethez k\u00e9pest nagyobb felel\u0151ss\u00e9get, illet\u0151leg k\u00f6telezetts\u00e9geket \u00e1llap\u00edtott meg az adatfeldolgoz\u00f3k r\u00e9sz\u00e9re.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":[],"categories":[187,900],"tags":[970,969,968,971,12,890],"_links":{"self":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1794"}],"collection":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1794"}],"version-history":[{"count":5,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1794\/revisions"}],"predecessor-version":[{"id":1800,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1794\/revisions\/1800"}],"wp:attachment":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1794"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1794"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1794"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}