Adatbiztonság a GDPR rendszerében – második rész

Adatvédelem IT 2018-05-02

Szoftverfejlesztés és GDPR

A GDPR erősen hangsúlyozza a kockázat alapú gondolkodást, minden lépést meg kell tenni, amellyel a biztonsági kockázat egy tolerálható szintre csökkenthető. Az elvárás érthető, mivel túl sok olyan szoftver létezik, amelybe semmiféle adatvédelem vagy biztonság nincs beépítve. Az ilyen szoftverek és az adatsértések miatt a felhasználók bizalmatlanok a személyes adataik felhasználásával kapcsolatban. Itt az idő ezen változtatni.

A legfontosabb feladatok egy új szoftver fejlesztése során (GDPR tükrében)

Mivel a GDPR nem biztosít túl sok mentesülési lehetőséget a szabályozás alól, ezért a nagy és kisebb vállalkozásoknak, non-profit szervezeteknek és kormányzati szerveknek is ismernie kell a főbb pontokat.

§ Az egyik ilyen az átláthatóság az érintettek számára, mely azt jelenti, hogyha Önnek személyazonosításra alkalmas információt tároló adatbázisa van, akkor lehetővé kell tennie, hogy az érintett megismerhesse milyen adat van tárolva, meddig marad a rendszerben, milyen célból, és ki férhet hozzá.

§ Megfelelő hozzáférést kell biztosítani az adatokhoz, hogy az érintett bármikor igazolhassa, módosíthassa, letölthesse, mozgathassa és törölhesse az adatokat pont olyan egyszerűen, mint ahogy megadta őket.

§ A következő fontos pont a „beépített” vagy alapértelmezett adatbiztonság, melynek a program automatikus elemének kell lennie. Legfőképp a személyazonosításra alkalmas adatok biztonságát és védelmét célozza, megfelelő felügyelet alatt. Ez például megköveteli, hogy tisztán ellenőrizhető legyen, hogy ki, mikor és mit csinált az adattal. Továbbá érdemes figyelmet szentelni az adatok tárolása, illetve áthelyezése közben és megfelelő titkosítást alkalmazni, hogy az adatszivárgás elkerülhető legyen.

§ Érvényes jogalappal kell rendelkeznie a személyes adatok gyűjtésére és feldolgozására. Ilyen lehet például egy jogszabály, mely megköveteli az adatgyűjtést- és tárolást egy bizonyos időtartamra. Ugyancsak megfelelő jogalap lehet egy szerződés, megállapodás vagy tranzakció.

§ Jogalap lehet a hozzájárulás is az érintettől az adatgyűjtésre és feldolgozásra, de a GDPR ennek is keretet szab. A hozzájárulásnak ugyanis egyértelműnek, pontosnak és érthetőnek kell lennie és nem lehet előre elfogadottá tenni. Nem elfogadható például egy jelölőnégyzet alkalmazása a következő állítással: „Hozzájárulok az adataim marketing célú felhasználásához.” Ezenkívül fontos, hogy könnyen visszavonható legyen a hozzájárulás. A szoftverfejlesztő ezekről a kérdésekről önállóan nem dönthet, meg kell vitatnia a szoftver birtokosával.

Tudta? Amennyiben egy szoftvert-fejlesztés során hozzáférése van a személyes adatokhoz, úgy adatfeldolgozónak minősülnek és a GDPR követelményei vonatkoznak vállalkozásukra.

A Személyes Azonosítható Információk felismerése

A GDPR csak a személyesen azonosítható információkkal foglalkozik, nem vonatkozik olyan adatokra, melyek nem egy személyhez kapcsolódnak, mint például termék vagy számviteli információk. A rendelet a Személyesen Azonosítható Információk (Personally Identifiable Information – PII) két csoportját különbözteti meg:

§ adatok, melyek alapján egyedileg azonosítható valaki (TAJ-szám, email cím, számlatörténet);

§ különösen érzékeny adatok, mint pl.: orvosi/egészségügyi információk, vallás, szexuális irányultság.

Arról még jelenleg is viták zajlanak, hogy személyes adat-e például a hozzáférések, ellenőrzések naplózása, mely IP címeket vagy helyettesítő kulcsokat tartalmaz. Nyilvántartások egyáltalán ezek? Kiterjed rá a személyiségi jogvédelem? Mennyire erős védelem illeti ezeket? A szakértők között nincs konszenzus a témában.

Álláspontunk szerint, ha egy log file adatai egy konkrét személyre vezethetők vissza, akkor az személyes adatnak minősül.

Beépített biztonság

A legköltséghatékonyabb módja az Ön szoftverének GDPR-nak való megfelelése, ha a követelmények egyszerűen be vannak kódolva a szoftverbe. Hogy ennek mennyire átfogónak kell lennie, az a konkrét rendszertől függ:

§Tartalmaz különlegesen-érzékeny adatokat az Ön rendszere?

§Tartalmaz olyasvalamit az Ön rendszere, amely ha nem is érzékeny adat a GDPR szempontjából, mégis kínos/veszélyes lenne a nyilvánosságra kerülése?

§ Ha valaki közzétenné az Ön adatbázisának tartalmát, az mekkora kockázatot jelentene a vállalkozása számára?

§ Mennyire nagy az Ön adatbázisa a felhasználókról?

Ha az adatbázisban kevés felhasználó van és a begyűjtött adatok nem érzékeny és káros adatok, akkor alacsony kockázatúnak tekinthető és kevésbé költséges módszerrel is biztosítható a védelme. Azonban, ha a rendszer sok felhasználó érzékeny adatát tartalmazza, akkor célszerű erősebb védelmet alkalmazni.

Egy jól működő ellenőrzési visszakövethetőség elengedhetetlen, alapvető követelmény. Az ellenőrzési nyomvonal nem csak azt mutatja, hogy Ön alkalmazott valamilyen védelmet, de segít az adatszegésből eredő károkat is a minimumra csökkenteni. Ezzel a módszerrel bármilyen adatszegés után kimutatható, hogy mely felhasználók érintettek és milyen adat szivárgott ki. Ez azért is fontos, mert ez az az információ, amelyet ilyenkor jelenteni kell az adatvédelmi hatóságoknak, és ezeket a felhasználókat kell értesíteni az adatsértésről.

Tudta? GDPR egyik legfontosabb új alapelve az elszámoltathatóság elve. Ennek értelmében az adatkezelők felelőssége, hogy biztosítsák az egyéneknek a személyes adatok megfelelő védelméhez fűződő alapvető jogát.

E kötelezettségnek való megfelelés többek között a megfelelő és biztonságos informatikai rendszer fenntartását foglalja magában, amelyet az ellenőrző hatóság felé is mindenkor bizonyítani szükséges.

Az ESET által kínált DLP rendszer használatával az Ön vállalkozása nem csupán az adatvesztéssel szemben lesz biztosítva, de a GDPR technikai előírásainak is maradéktalanul eleget tehet.

A visszakövethetőség biztosítása után a következő feladat az adatkitettség korlátozása, melynek a legjobb módja annak a behatárolása, hogy milyen adatot gyűjtünk, és meddig tároljuk azokat. Egy archiváló/megsemmisítő mechanizmus kezdetektől való beépítésével ezek dokumentálhatók a felhasználók számára. Amennyiben adatsértés történik, az csak azokat az adatokat érintheti, amelyek éppen akkor, abban az időpontban voltak tárolva a célzott rendszerben. Érdekes módon sok rendszer folyamatosan gyűjti az adatokat és sosem törli az idejétmúlt adatokat.

A GDPR arra ösztönöz, hogy egyértelműen határozzuk meg és dokumentáljuk az adatok életciklusát. Mi több, ajánlatos az adatokhoz való hozzáférést azokra korlátozni, amelyek feltétlenül szükségesek. Ez kifejezetten igaz az érzékeny adatokra.

A titkosítást már említettük, mint lehetséges védelmi módszert, de érdemes kitérni az anonimizálásra és az álnevesítésre is. Az anonimizálás tulajdonképpen eltávolít minden azonosítható információt a mezők törlésével vagy elrejtésével, az álnevesítés pedig az azonosítható információkat álnevekkel helyettesíti, ezzel jellemzően különválasztja a személyazonosságokat az adatoktól. Mindkét gyakorlatot nehéz jól kivitelezni és emellett még nem is biztos, hogy tökéletes eszközt kínálnak a GDPR megfeleléshez, de mindenképpen értékesek az eszköztárban.

Az adatbázis dokumentációja

A GDPR fontos eleme a dokumentáció, mivel a szabályozás fontos pontja, hogy igazolni tudjuk a szabályoknak való megfelelést. A továbbiakban egy rövid ellenőrző listát mutatunk azokról a dolgokról, amelyek mindenképp hasznosak, ha a dokumentáció részét képezik:

§ a rendszerben tárolt személyes adatok;

§ az összegyűjtött adatok életciklusa;

§ az összes fél, aki feldolgozza az adatot;

§ az adatgyűjtés jogalapja;

§ az érintettek informálása a jogaikról, és annak kifejtése, hogy hogyan tudják azokat gyakorolni.

Rögzíteni kell tehát, hogy milyen adatot, milyen célból, meddig tárolunk és hogy milyen jogalapon dolgozzuk fel azt. Ennek a legegyszerűbb módja különböző dokumentum-típusok kombinációja.

 Kiterjesztett felhasználói jogok támogatása

A felhasználói/érintetteket illető jogok nagy része már létezik az EU meglévő Adatvédelmi Irányelvében. A következő lista azt mutatja, ezek hogy néznek ki a GDPR alatt:

§ hozzáférési jog

§ helyesbítési jog

§ törléshez való jog

§ az adatfeldolgozás tiltása/korlátozása

§ adathordozhatósághoz való jog

§ adatsértésről értesüléshez való jog.

Ezen jogok biztosításához azonban a GDPR nem követel meg automatikus, valós idejű műveleteket, úgyhogy kétségbeesésre nincs ok. Egy kérelem beérkezésére az adatkezelőnek 30 napja van válaszolni. Az is jogos válasz lehet, hogy Ön nem rendelkezik jogalappal az adat törlésére vagy exportálására pl. jogszabályok vagy hatályban lévő szerződések miatt. Nagyon lényeges azonban, hogy ha egy személy kérelmet nyújt be, akkor megfelelően azonosítsuk, elkerülve ezzel az újabb adatsértést, ha véletlenül egy másik személy adatát manipuláljuk vagy exportáljuk.

Összességében elmondható, hogy minél több dokumentációt tud lefedni automatizált műveletekkel, annál olcsóbb ennek a finanszírozása, ráadásul a felhasználók jobban is szeretik a valós idejű hozzáférést, mint a kérelmek benyújtását, amelyek feldolgozása 30 napig is tarthat. Az adatok megsemmisítésére és exportálására való felkészülés is okos döntés lehet, ha valaki új szoftver készítésébe vág bele.

A legfontosabb megvalósítandó dolog az ún. „one-stop-shop” (egy kapus ügyintézés), ahol az érintett gyakorolhatja az őt megillető jogokat, amely beindítja azt a folyamatot, melyben azonosítják és érvényesítik a kérelmét és ezután azt a mechanizmust, amely elvégzi az adat exportálását vagy megsemmisítését.

Ön adatfeldolgozónak minősül vagy nem?

Ha ön egy új szoftver-projekten dolgozik a GDPR követelményei alatt, akkor egy lényeges kérdésre mindenképp válaszolnia kell: szándékozik-e adatfeldolgozóvá válni. Alapvetően ez senkinek nem érdeke, mivel ez szankciókat vonhat maga után. Hogy ezt elkerülje, bizonyosodjon meg róla, hogy nem fér hozzá és nem is tud hozzáférni semmilyen személyes azonosításra alkalmas adathoz, semmilyen körülmények között. Arról is meg kell bizonyosodnia, hogy ez egyértelműen meg van határozva valamilyen szerződésben.

A másik lehetőség, hogy vállalja az adatfeldolgozói státuszt, amely lehetővé teszi, hogy hozzáférjen személyes adatokhoz, és egészen addig, amíg ezt a tevékenységet dokumentálja, érvényes jogalappal rendelkezik az adatok feldolgozására. Ez egyértelmű felelősséget ró Önre, így ebben az esetben szem előtt kell tartania az esetleges szankciókat. Azonban ha Személyes Azonosítható Információkhoz (PII) kell hozzáférnie, akkor elengedhetetlen ezt az utat választani.

 

Ha segítségre van szükségre a GDPR-re való felkészülés kapcsán, akár optimalizálni szeretné a meglévő dokumentációt a 2018. május 25-i határidő után – úgy keressen minket bátran, állunk rendelkezésére.

Olvassa el szakmai blogunk bejegyzéseit

Szakmai blogunkban gyakran előforduló jogi eseteinkbe engedünk bepillantást

Megnézem az összes bejegyzést
Élettársi vagyonszaporulat és lakáshasználat megosztása a hatályos joggyakorlatban

Élettársi vagyonszaporulat és lakáshasználat megosztása a hatályos joggyakorlatban

Családjogi 2025-11-18

A magyar Ptk. az életközösség fennálltát tulajdonképpen két formában ismeri el. Megjeleníti a házasság intézményét, melyet magasztosan több jogász professzor „érzelmi és gazdasági szövetség”-ként ír le, és emellett lehetőség nyílik az együttélés házasságkötés nélküli formájára is, élettársi kapcsolat minőségben. Ezt a törvény szigorúan kötelmi viszonyként jellemzi, a Ptk. szerződések jogáról szóló könyvének XXV. címe alatt.

Tovább olvasom
Helyi önazonosság védelme – mire kötelezhet az önkormányzat betelepüléskor?

Helyi önazonosság védelme – mire kötelezhet az önkormányzat betelepüléskor?

2025-10-20

A helyi önazonosság védelméről szóló törvény (Hötv.) alapján már több mint ötven helyi önkormányzat alkotott rendeletet. A törvény a településekre történő betelepülést szabályozza azon az alapon, hogy az önkormányzatok megvédhessék hagyományaikat, társadalmi rendjüket és értékeiket. Az önkormányzatok rendeletei tartalmukban igazán eltérőek, mivel az önkormányzatokat nagyon széles mérlegelési jogkörrel ruházza fel a Hötv. A szabályozás szerteágazósága, ezért nézzük meg részletesebben, hogy az önkormányzatok pontosan milyen felhatalmazással rendelkeznek.

Tovább olvasom
Gyermek jogellenes külföldre vitele - Családjogi vonatkozások

Gyermek jogellenes külföldre vitele - Családjogi vonatkozások

Családjogi 2025-04-04

A gyermekek jogellenes külföldre vitele súlyos, komplex jogi kérdéseket vet fel, amelyek rendezése számos nemzetközi és hazai jogszabályi rendelkezés hatálya alá esik. Bár a családjogi normák nemzetközi összehangolása jelenleg is folyamatban van, a határokon átívelő családjogi viták egyik legérzékenyebb pontján, a gyermekek jogellenes külföldre vitelének kérdésében kialakításra került egy több mint 100 ország által elfogadott, és alkalmazott jogi norma, a Gyermekek Jogellenes Külföldre Vitelének Polgári Jogi Vonatkozásairól szóló Hágai Egyezmény. Jelen cikkünkben az Egyezmény és az arra épülő Uniós, valamint hazai jogszabályokat és joggyakorlatot mutatjuk be.

Tovább olvasom
Önkényes iskolaválasztás a szülő által

Önkényes iskolaválasztás a szülő által

Családjogi 2025-03-20

A házassági bontóperek során gyakran előforduló jelenség, hogy az egyik házastárs önkényesen dönt a közös gyermekek sorsa felett, ezzel megnehezítve, vagy adott esetben ellehetetlenítve a másik érintett szülő lehetőségét arra, hogy gyermekeit láthassa, velük a kapcsolatot akár személyes találkozás útján, akár más módon tarthassa. Ez különösen problémás lehet, ha az egyik szülő a gyermek tartózkodási helyét vagy iskoláját a másik szülő hozzájárulása nélkül változtatja meg.  Ilyen esetekben a jogosult szülőnek több jogi lehetősége is van a jogsértés megszüntetésére.

Tovább olvasom
A váltott gondoskodás szabályai, gyakorlati kérdései és tapasztalatai

A váltott gondoskodás szabályai, gyakorlati kérdései és tapasztalatai

Family 2025-02-17

A házasság felbontása minden esetben kihatással van a gyermekre, éppen ezért nagyon fontos kérdés, hogy a szülők között miképpen alakul a szülői felügyelet gyakorlása, vagy a gyermekkel történő kapcsolattartás. A váltott gondoskodás egy viszonylag új lehetőség, amit a szülők közös vagy akár egyetlen szülő kérelmére a bíróság a gyermek érdekében elrendelhet. Írásunkban a váltott gondoskodás néhány gyakorlati problémájára és jelentőségére hívjuk fel a figyelmet.

Tovább olvasom
Nemzetközi kapcsolatok

Nemzetközi kapcsolatok

100+ országban

Kiemelt tapasztalat

Kiemelt tapasztalat

a peres viták rendezésében

Gyors reakció

Gyors reakció

sürgős helyzetben is számíthat ránk

Cégjog
Cégjog
  • Gazdasági társaságok alapításában, módosításában és átalakulásában biztosítunk teljes körű szolgáltatást
  • Jogi képviseletet vállalunk végelszámolás, csőd- és felszámolási eljárás során
Családjog
Családjog
  • Empatikus, megalapozott jogi támogatást nyújtunk házassági bontóper, vagyonmegosztás, tartásdíj, gyermekelhelyezés, szülői felügyelet, apasági vélelem, gyámság kapcsán
Ingatlanjog
Ingatlanjog
  • Ingatlan adásvétel, ajándékozás, bérlet, fejlesztés és beruházási szerződések szakértő jogi előkészítését és lebonyolítását biztosítjuk
IT jog
IT jog
  • Információs technológiai szerződések, adatvédelmi és szoftverjogi kérdések, AI -val kapcsolatos problémák gyors és precíz jogi kezelését kínáljuk.
Munkajog
Munkajog
  • Munkaszerződések, belső szabályzatok és munkaügyi viták kapcsán nyújtunk hatékony tanácsadást és képviseletet munkáltató és munkavállalók számára
Öröklési jog
Öröklési jog
  • Számíthat ránk végrendeletek és öröklési szerződések elkészítésében, megtámadhatóságuk vizsgálatában, illetve a hagyatéki eljárásban történő képviseletben és igényérvényesítésben
Peres képviselet
Peres képviselet
  • Több különböző jogterületen nyújtunk rutinos képviseletet  első és másodfokon, városi/kerületi és megyei, valamint ítélőtáblák előtt
Cím

Cím

H-1136 Budapest, Balzac u. 37. mf. 2.

Telefonszám

Telefonszám

+36 (1) 786 66 07 / +36 (70) 381 22 22

E-mail

E-mail

office@hsloffice.com