Szoftverfejlesztés és GDPR
A GDPR erősen hangsúlyozza a kockázat alapú gondolkodást, minden lépést meg kell tenni, amellyel a biztonsági kockázat egy tolerálható szintre csökkenthető. Az elvárás érthető, mivel túl sok olyan szoftver létezik, amelybe semmiféle adatvédelem vagy biztonság nincs beépítve. Az ilyen szoftverek és az adatsértések miatt a felhasználók bizalmatlanok a személyes adataik felhasználásával kapcsolatban. Itt az idő ezen változtatni.
A legfontosabb feladatok egy új szoftver fejlesztése során (GDPR tükrében)
Mivel a GDPR nem biztosít túl sok mentesülési lehetőséget a szabályozás alól, ezért a nagy és kisebb vállalkozásoknak, non-profit szervezeteknek és kormányzati szerveknek is ismernie kell a főbb pontokat.
§ Az egyik ilyen az átláthatóság az érintettek számára, mely azt jelenti, hogyha Önnek személyazonosításra alkalmas információt tároló adatbázisa van, akkor lehetővé kell tennie, hogy az érintett megismerhesse milyen adat van tárolva, meddig marad a rendszerben, milyen célból, és ki férhet hozzá.
§ Megfelelő hozzáférést kell biztosítani az adatokhoz, hogy az érintett bármikor igazolhassa, módosíthassa, letölthesse, mozgathassa és törölhesse az adatokat pont olyan egyszerűen, mint ahogy megadta őket.
§ A következő fontos pont a „beépített” vagy alapértelmezett adatbiztonság, melynek a program automatikus elemének kell lennie. Legfőképp a személyazonosításra alkalmas adatok biztonságát és védelmét célozza, megfelelő felügyelet alatt. Ez például megköveteli, hogy tisztán ellenőrizhető legyen, hogy ki, mikor és mit csinált az adattal. Továbbá érdemes figyelmet szentelni az adatok tárolása, illetve áthelyezése közben és megfelelő titkosítást alkalmazni, hogy az adatszivárgás elkerülhető legyen.
§ Érvényes jogalappal kell rendelkeznie a személyes adatok gyűjtésére és feldolgozására. Ilyen lehet például egy jogszabály, mely megköveteli az adatgyűjtést- és tárolást egy bizonyos időtartamra. Ugyancsak megfelelő jogalap lehet egy szerződés, megállapodás vagy tranzakció.
§ Jogalap lehet a hozzájárulás is az érintettől az adatgyűjtésre és feldolgozásra, de a GDPR ennek is keretet szab. A hozzájárulásnak ugyanis egyértelműnek, pontosnak és érthetőnek kell lennie és nem lehet előre elfogadottá tenni. Nem elfogadható például egy jelölőnégyzet alkalmazása a következő állítással: „Hozzájárulok az adataim marketing célú felhasználásához.” Ezenkívül fontos, hogy könnyen visszavonható legyen a hozzájárulás. A szoftverfejlesztő ezekről a kérdésekről önállóan nem dönthet, meg kell vitatnia a szoftver birtokosával.
Tudta? Amennyiben egy szoftvert-fejlesztés során hozzáférése van a személyes adatokhoz, úgy adatfeldolgozónak minősülnek és a GDPR követelményei vonatkoznak vállalkozásukra.
A Személyes Azonosítható Információk felismerése
A GDPR csak a személyesen azonosítható információkkal foglalkozik, nem vonatkozik olyan adatokra, melyek nem egy személyhez kapcsolódnak, mint például termék vagy számviteli információk. A rendelet a Személyesen Azonosítható Információk (Personally Identifiable Information – PII) két csoportját különbözteti meg:
§ adatok, melyek alapján egyedileg azonosítható valaki (TAJ-szám, email cím, számlatörténet);
§ különösen érzékeny adatok, mint pl.: orvosi/egészségügyi információk, vallás, szexuális irányultság.
Arról még jelenleg is viták zajlanak, hogy személyes adat-e például a hozzáférések, ellenőrzések naplózása, mely IP címeket vagy helyettesítő kulcsokat tartalmaz. Nyilvántartások egyáltalán ezek? Kiterjed rá a személyiségi jogvédelem? Mennyire erős védelem illeti ezeket? A szakértők között nincs konszenzus a témában.
Álláspontunk szerint, ha egy log file adatai egy konkrét személyre vezethetők vissza, akkor az személyes adatnak minősül.
Beépített biztonság
A legköltséghatékonyabb módja az Ön szoftverének GDPR-nak való megfelelése, ha a követelmények egyszerűen be vannak kódolva a szoftverbe. Hogy ennek mennyire átfogónak kell lennie, az a konkrét rendszertől függ:
§Tartalmaz különlegesen-érzékeny adatokat az Ön rendszere?
§Tartalmaz olyasvalamit az Ön rendszere, amely ha nem is érzékeny adat a GDPR szempontjából, mégis kínos/veszélyes lenne a nyilvánosságra kerülése?
§ Ha valaki közzétenné az Ön adatbázisának tartalmát, az mekkora kockázatot jelentene a vállalkozása számára?
§ Mennyire nagy az Ön adatbázisa a felhasználókról?
Ha az adatbázisban kevés felhasználó van és a begyűjtött adatok nem érzékeny és káros adatok, akkor alacsony kockázatúnak tekinthető és kevésbé költséges módszerrel is biztosítható a védelme. Azonban, ha a rendszer sok felhasználó érzékeny adatát tartalmazza, akkor célszerű erősebb védelmet alkalmazni.
Egy jól működő ellenőrzési visszakövethetőség elengedhetetlen, alapvető követelmény. Az ellenőrzési nyomvonal nem csak azt mutatja, hogy Ön alkalmazott valamilyen védelmet, de segít az adatszegésből eredő károkat is a minimumra csökkenteni. Ezzel a módszerrel bármilyen adatszegés után kimutatható, hogy mely felhasználók érintettek és milyen adat szivárgott ki. Ez azért is fontos, mert ez az az információ, amelyet ilyenkor jelenteni kell az adatvédelmi hatóságoknak, és ezeket a felhasználókat kell értesíteni az adatsértésről.
Tudta? GDPR egyik legfontosabb új alapelve az elszámoltathatóság elve. Ennek értelmében az adatkezelők felelőssége, hogy biztosítsák az egyéneknek a személyes adatok megfelelő védelméhez fűződő alapvető jogát.
E kötelezettségnek való megfelelés többek között a megfelelő és biztonságos informatikai rendszer fenntartását foglalja magában, amelyet az ellenőrző hatóság felé is mindenkor bizonyítani szükséges.
Az ESET által kínált DLP rendszer használatával az Ön vállalkozása nem csupán az adatvesztéssel szemben lesz biztosítva, de a GDPR technikai előírásainak is maradéktalanul eleget tehet.
A visszakövethetőség biztosítása után a következő feladat az adatkitettség korlátozása, melynek a legjobb módja annak a behatárolása, hogy milyen adatot gyűjtünk, és meddig tároljuk azokat. Egy archiváló/megsemmisítő mechanizmus kezdetektől való beépítésével ezek dokumentálhatók a felhasználók számára. Amennyiben adatsértés történik, az csak azokat az adatokat érintheti, amelyek éppen akkor, abban az időpontban voltak tárolva a célzott rendszerben. Érdekes módon sok rendszer folyamatosan gyűjti az adatokat és sosem törli az idejétmúlt adatokat.
A GDPR arra ösztönöz, hogy egyértelműen határozzuk meg és dokumentáljuk az adatok életciklusát. Mi több, ajánlatos az adatokhoz való hozzáférést azokra korlátozni, amelyek feltétlenül szükségesek. Ez kifejezetten igaz az érzékeny adatokra.
A titkosítást már említettük, mint lehetséges védelmi módszert, de érdemes kitérni az anonimizálásra és az álnevesítésre is. Az anonimizálás tulajdonképpen eltávolít minden azonosítható információt a mezők törlésével vagy elrejtésével, az álnevesítés pedig az azonosítható információkat álnevekkel helyettesíti, ezzel jellemzően különválasztja a személyazonosságokat az adatoktól. Mindkét gyakorlatot nehéz jól kivitelezni és emellett még nem is biztos, hogy tökéletes eszközt kínálnak a GDPR megfeleléshez, de mindenképpen értékesek az eszköztárban.
Az adatbázis dokumentációja
A GDPR fontos eleme a dokumentáció, mivel a szabályozás fontos pontja, hogy igazolni tudjuk a szabályoknak való megfelelést. A továbbiakban egy rövid ellenőrző listát mutatunk azokról a dolgokról, amelyek mindenképp hasznosak, ha a dokumentáció részét képezik:
§ a rendszerben tárolt személyes adatok;
§ az összegyűjtött adatok életciklusa;
§ az összes fél, aki feldolgozza az adatot;
§ az adatgyűjtés jogalapja;
§ az érintettek informálása a jogaikról, és annak kifejtése, hogy hogyan tudják azokat gyakorolni.
Rögzíteni kell tehát, hogy milyen adatot, milyen célból, meddig tárolunk és hogy milyen jogalapon dolgozzuk fel azt. Ennek a legegyszerűbb módja különböző dokumentum-típusok kombinációja.
Kiterjesztett felhasználói jogok támogatása
A felhasználói/érintetteket illető jogok nagy része már létezik az EU meglévő Adatvédelmi Irányelvében. A következő lista azt mutatja, ezek hogy néznek ki a GDPR alatt:
§ hozzáférési jog
§ helyesbítési jog
§ törléshez való jog
§ az adatfeldolgozás tiltása/korlátozása
§ adathordozhatósághoz való jog
§ adatsértésről értesüléshez való jog.
Ezen jogok biztosításához azonban a GDPR nem követel meg automatikus, valós idejű műveleteket, úgyhogy kétségbeesésre nincs ok. Egy kérelem beérkezésére az adatkezelőnek 30 napja van válaszolni. Az is jogos válasz lehet, hogy Ön nem rendelkezik jogalappal az adat törlésére vagy exportálására pl. jogszabályok vagy hatályban lévő szerződések miatt. Nagyon lényeges azonban, hogy ha egy személy kérelmet nyújt be, akkor megfelelően azonosítsuk, elkerülve ezzel az újabb adatsértést, ha véletlenül egy másik személy adatát manipuláljuk vagy exportáljuk.
Összességében elmondható, hogy minél több dokumentációt tud lefedni automatizált műveletekkel, annál olcsóbb ennek a finanszírozása, ráadásul a felhasználók jobban is szeretik a valós idejű hozzáférést, mint a kérelmek benyújtását, amelyek feldolgozása 30 napig is tarthat. Az adatok megsemmisítésére és exportálására való felkészülés is okos döntés lehet, ha valaki új szoftver készítésébe vág bele.
A legfontosabb megvalósítandó dolog az ún. „one-stop-shop” (egy kapus ügyintézés), ahol az érintett gyakorolhatja az őt megillető jogokat, amely beindítja azt a folyamatot, melyben azonosítják és érvényesítik a kérelmét és ezután azt a mechanizmust, amely elvégzi az adat exportálását vagy megsemmisítését.
Ön adatfeldolgozónak minősül vagy nem?
Ha ön egy új szoftver-projekten dolgozik a GDPR követelményei alatt, akkor egy lényeges kérdésre mindenképp válaszolnia kell: szándékozik-e adatfeldolgozóvá válni. Alapvetően ez senkinek nem érdeke, mivel ez szankciókat vonhat maga után. Hogy ezt elkerülje, bizonyosodjon meg róla, hogy nem fér hozzá és nem is tud hozzáférni semmilyen személyes azonosításra alkalmas adathoz, semmilyen körülmények között. Arról is meg kell bizonyosodnia, hogy ez egyértelműen meg van határozva valamilyen szerződésben.
A másik lehetőség, hogy vállalja az adatfeldolgozói státuszt, amely lehetővé teszi, hogy hozzáférjen személyes adatokhoz, és egészen addig, amíg ezt a tevékenységet dokumentálja, érvényes jogalappal rendelkezik az adatok feldolgozására. Ez egyértelmű felelősséget ró Önre, így ebben az esetben szem előtt kell tartania az esetleges szankciókat. Azonban ha Személyes Azonosítható Információkhoz (PII) kell hozzáférnie, akkor elengedhetetlen ezt az utat választani.