2020-07-03 | Adatvédelem, IT jog
üzleti titkok védelmével, a GDPR jelentőségével, valamint az adatvédelmi jogszabályok betartásának relevanciájával a legtöbb adatkezelő általában tisztában van. Sokan tudják azt is, hogy az adatvédelmi kötelezettségek elmulasztása negatív következményekkel járhat, így például adatvédelmi bírság is kiszabható a jogszabály-sértő adatkezelő ellen. Kevesebben tudják azonban azt, hogy – túl az üzleti titkok védelméhez fűződő ésszerűségen – a GDPR adatvédelmi incidensekre vonatkozó szabályai nem csak a jogi, hanem a kellő szintű technológiai elővigyázatosságot is elvárják az adatkezelőtől. A nem megfelelő felkészültség súlyos következményekkel járhat az adatok biztonságára, így az érintettekre és végső soron az adatkezelőre egyaránt.
Korábbi adatvédelmi témájú irásainkat ezen a linken érhetik el. Az információs-technológiával kapcsolatos adatvédelmi tárgyú cikkeink a következő linkeken találhatók:
Üzleti titok
Napjainkban bizonyos információk, adatok és tények ismerete önmagában is hatalmas piaci értékkel bírhat. A piaci szereplők mindegyikének vannak olyan információi, melyek titokban tartásához komoly jogi- és gazdasági érdekek fűződnek, a hétköznapi értelemben ezeket szokás üzleti titoknak nevezni.
Az üzleti titok értékét és fontosságát jól tükrözi, hogy védelmének biztosítására Magyarországon is külön törvényt hoztak létre, ez az üzleti titok védelméről szóló törvény, mely az üzleti titok fogalmának tágabb, szakszerűbb fogalmát határozza meg és definiálja az üzleti titok megsértését, valamint az ehhez fűződő szankciókat.
A legtöbb üzleti szerződés külön fejezetben tér ki a felek között esetlegesen megosztásra kerülő üzleti titkok védelmére, melyek megsértése szinte mindig súlyos szerződésszegésnek minősül és tekintélyes titoktartási kötbérfizetési kötelezettséggel párosul.
Az adatkezelés mellett tehát az üzleti titkok védelmének kötelezettsége is hatalmas felelősséget ró a piaci szereplőkre, így a piaci szereplők által kezelt adatok, valamint ismert üzleti titkok biztonságos tárolásának kérdése kiemelten fontos kérdés.
Az adatvédelmi incidens
A GDPR értelmező rendelkezései szerint
§ „adavédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”
Amennyiben például egy villámcsapás vagy egyszerű meghibásodás miatt az adatok tárolására használt szerver meghibásodik, adatvédelmi incidens következik be. Ugyanígy incidensnek minősül azonban az is, ha az adatokat egy szándékos hacker támadás következtében az adatkezelő számítógépéről illetéktelenek megszerzik.
Azonban az adatok elvesztése szintén olyan esemény, amely adatvédelmi incidensnek minősülhet.
Az adatkezelő feladatai és felelőssége
A GDPR adatbiztonságra vonatkozó rendelkezései szerint az adatkezelő és az adatfeldolgozó feladata, hogy megfelelő technikai és szervezési intézkedéseket hajtson végre annak érdekében, hogy az adatok biztonságával kapcsolatos kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A GDPR nevesített példákat is hoz az adatbiztonsággal kapcsolatos általános feladatokra: Az adatkezelőnek kötelessége garantálni többek között a személyes adatok álnevesítését és titkosítását, valamint a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét.
Az adatvédelmi incidensekkel kapcsolatban többlet-kötelezettség is terheli az adatkezelőket: amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges 72 órán belül az incidenst jelenteni az illetékes hatóságnak, mely Magyarországon a Nemzeti Adatvédelmi- és Információszabadság Hatóság. Magas kockázattal járó incidens esetén az érintetteket is tájékoztatni kell az incidensről.
Az általános adatbiztonsággal kapcsolatos kötelezettségek, valamint az adatvédelmi incidenssel kapcsolatos egyéb feladatok elmulasztása, vagy nem megfelelő teljesítése esetén az adatvédelmi bírság mellett az adatkezelő az érintetteknek okozott károkért kártérítési felelősséggel is tartozik.
Megoldások az incidensek elkerülésére és hatékony kezelésére
Az adatvédelmi incidensek jelentette veszély kikerülésére jogi és technológiai megoldásokat egyaránt alkalmazni szükséges.
Jogi szempontból a szakszerűen elkészített adatvédelmi irányelv, szabályzat, adatvédelmi tájékoztató és adatvagyon-nyilvántartás mellett célszerű külön incidens-protokollt is készíteni, hogy az esetleges incidensek elhárításának menete rögzítésre kerüljön.
Fontos a megfelelő munkajogi háttéranyagok (munkaköri leírások, jogosultsági szintek) kezelése.
Technológiai oldalról a megoldások szerteágazóbbak: manapság a legtöbb adatkezelő számítógépes eszközön tárolja az általa kezelt adatokat. Bizonyos adatkezelők saját, belső szerverrel rendelkeznek, míg mások külsős szolgáltató tulajdonában lévő, bérelt szervereken őrzik az érintettek adatait. Mindkét esetben fontos azonban a megfelelő szintű informatikai biztonság garantálása, valamint az informatikai eszközök karbantartása.
Az informatikai biztonság
Minden olyan számítógép, amely valamely hálózathoz csatlakozik – akár belső munkahelyi hálózatról, akár az internetről legyen szó – ki van téve a más eszközről történő, illetéktelen belépés veszélyének.
Mindenképpen javasolt a számítógépet megfelelő tűzfallal, vírus- és behatolásvédelemmel ellátni. A komolyabb kiber-biztonsági programok a számítógépre veszélyes programokat kiszűrik, és képesek a számítógépen található vírusokat megtalálni és eltávolítani. Az egyik legfejlettebb, és legnaprakészebb biztonsági adatbázissal rendelkező program az ESET melynek használatát irodánk is nyugodt szívvel tudja ajánlani.
Az informatikai eszközök karbantartása
A külső behatolásoktól való védelem azonban az adatvédelmi biztonságnak csak egy része, és önmagában nem elegendő. Az informatikai eszközök gyakran elromlanak, illetve bizonyos esetekben váratlanul súlyosan meghibásodhatnak.
A felhasználónak nem felróható okból történő meghibásodásra a gyártói garancia egy ideig megoldást nyújthat, azonban a legtöbb eszköz garanciális ideje meglehetősen rövidv agy a garancia meghosszabbítása nem lehetséges. Számos esetben a meghibásodás nem sokkal a garancia letelte után is bekövetkezhet, mely esetben a felhasználó számára a gyártó már nem biztosítja a teljes körű támogatást, javítást vagy cserét.
Hatékony és egyre népszerűbb megoldás az informatikai eszközök megfelelő működtetésére és élettartamának maximalizálására a garancián túli karbantartás szolgáltatás, melynek keretében a gyártótól független, külső szolgáltató a garancia lejártát követően is teljes körű támogatást és meghosszabbított garanciát nyújt különböző informatikai eszközökre. A garancián túli karbantartás a gyártói garanciával egyenértékű, sőt akár annál szélesebb körű szolgáltatást is biztosít, az eredeti garancia árának töredékéért. Egyre népszerűbb, megnyugtató megoldást kínál például a nemzetközi szinten is elismert ITRIS csoport, amely a kisebb vállalkozóktól kezdve a legkomolyabb szerverekkel rendelkező cégeknek egyaránt nyújt szolgáltatásokat.
Összefoglaló
Az üzleti titkok védelmén túl, a GDPR-al kapcsolatos, szűk értelemben vett adatvédelmi feladatok mellett az adatkezelőnek és az adatfeldolgozónak az adatok tárolásával kapcsolatban is komoly felelőssége van. Ezért az informatikai eszközök hatékony védelmére és karbantartására egyaránt elengedhetetlen. Mindenképpen javasolt az elővigyázatosság, ugyanis a hacker támadásokon, konkurencia esetleges IT alapú adatszerzési kísérletein túl, az adatvédelmi bírságra is számíthat, aki nem vigyáz adataira, és jelentős összegű kártérítés megfizetésétől is megmentheti magát, aki kellően felkészült IT infrastruktúrával is rendelkezik.
Ne elégedjünk meg a „papírozással”!
