Becslések szerint a hazai cégek és szervezetek 30 százaléka soha nem hallott még az európai Általános Adatvédelmi Rendeletről, a fennmaradó 70 százalék több mint fele pedig hallott ugyan róla, de fogalma sincs, mihez kellene kezdenie vele. Tévúton járnak, akik úgy gondolják, hogy az informatikusok majd gondoskodnak a személyes adatok védelméről, s ezáltal cégük megfelel a május 25-én életbe lépő GDPR minden előírásának.
Az informatikus nem adatkezelő
A személyes adatok védelme - a szervezet egyéb információs vagyonának védelméhez hasonlóan - nem az IT-csapat feladata. Ez csak abból a szempontból igaz, hogy az adattárolókhoz és szerverekhez az informatikusok vannak fizikailag a legközelebb. A szervereken lévő adatokat, információkat és fájlokat azonban nem az informatikusok teszik oda és használják, hanem üzleti, szervezeti folyamatokon keresztül a teljes cég. Ez az oka annak, hogy a GDPR különbséget tesz az adatkezelő és az adatfeldolgozó között, és kimondja, hogy az adatokért elsősorban az adatkezelő felel, mivel ő határozza meg a kezelés módját. Az informatikus (vagy programozó) csupán adatfeldolgozó, nem ő mondja meg, hogy egy üzleti folyamatot támogató rendszer milyen funkciókkal és adatokkal működjön. Nem az informatikusok dolga - és nem is a jogászoké - annak eldöntése, hogy egy-egy személyes adat, vagy az azt kezelő rendszer mennyire fontos a szervezetnek, és hogyan kell azt megvédeni. Ennek dacára sok helyen rákényszerítik az informatikusokra ezt a szerepet, akik a saját biztonsági szakértelmük és kockázatérzékenységük szintjén kezelik a témát. Ez a megközelítés azonban problémás. Az adatok és információk védelmének a teljes szervezetet át kell járnia.
- Az információvédelem külön szakma. Egy szervezet nem tud egy tollvonással eljutni a megfelelő információ- és személyesadat-védelmi szintre. Hosszú folyamatról van szó, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. A vállalatoknak az adatvédelmi tisztviselő szerepköre mellett ki kell alakítaniuk az információvédelmi felelős szerepkörét is - hívja fel a figyelmet Solymos Ákos, a Quadron Kibervédelmi Kft. szakértője.
Nincs 100 százalékos GDPR-megfelelés
Az első és legfontosabb tudnivaló, hogy mit akarunk megvédeni. Fel kell mérnünk, milyen személyes adatokat kezel a cég, azok milyen folyamatokban játszanak szerepet, ki fér hozzájuk, továbbá hol és milyen formában tárolják az adatokat (a GDPR a papíralapú adatkezelésre is vonatkozik), végül pedig tisztában kell lennünk azzal, mennyi ideig kell az adatokat megőrizni.
- A személyes adatok kezelése, mint fogalom a jogszabályban megtalálható. A lényeg, hogy amíg nem ismerjük szervezetünket a személyes adatok kezelése szempontjából, addig semmi esélyünk a sikerre, sem a jogi résznek megfelelés, sem a személyes adatok megvédésére tett erőfeszítések tekintetében - fogalmaz Solymos Ákos, majd hozzáteszi: - rossz hír, hogy soha senki nem tudja majd kijelenteni: a szervezet 100 százalékig felkészült, és a jogszabály minden pontjának megfelel. A személyes adatok védelme ugyanis - az információvédelemhez hasonlóan - kockázatalapú megközelítésen nyugszik: ahogy a szervezet, úgy a fenyegető tényezők is változnak. Mindössze annyi várható el, hogy a szervezet elfogadható kockázati szinten működjön. Ahogy nincs 100 százalékos biztonság, úgy nincs 100 százalékos GDPR-megfelelés sem.
Bevált eljárások és szervezeti védekezés
- A GDPR a személyes adatokra összpontosít, azok védelmét írja elő. A vállalatok eddig tulajdonképpen a cég adatait védték, amelyekbe beletartoztak a személyes adatok is, de a vállalat egyéb érzékeny adatai is. Ha tehát egy cég technikailag, azaz informatikailag meg akar felelni a GDPR előírásainak, alapvetően a bevált védekezési eljárásokat kell alkalmaznia. Mik tartoznak ide? Tűzfalak, víruskeresők, behatolás-detektálók, az eszközök fizikai védelme, biztonsági szolgálat, beléptető-rendszerek, logikai védekezési eszközök (például rejtjelezés, hitelesítés, anonimizálás). Mindezeken túlmenően a személyes adatok szempontjából kiemelt fontosságú a szervezeti védekezés. Úgy kell kialakítani a cég struktúráját, hogy csak azok a kollégák férjenek hozzá a személyes adatokhoz, akiknek a munkájához azok nélkülözhetetlenek - mutat rá Ács Gergely, a BME adjunktusa, a CrySyS Lab munkatársa.
Kell-e a hozzájárulás?
A GDPR értelmében minden szervezetnek első lépésként definiálnia kell, hogy miért dolgozza fel az adatot. Ez után meg kell győződnie arról, valóban jogosult-e az adat feldolgozására. Kijelentheti például, hogy a szóban forgó adatra üzleti céljai megvalósításához van szüksége. Ha ezt tudja igazolni, és az ügyfél (vevő, páciens stb.) hozzájárul személyes adatai felhasználásához, akkor az adatok rögzítésének, tárolásának és feldolgozásának elvileg nincs jogi akadálya.
A GDPR lehetőséget enged személyes adatok feldolgozására üzleti célokra hozzájárulás nélkül is, ha ennek igazolhatóan semmilyen vagy csak minimális negatív hatása van a személyek (adattulajdonosok) jogaira és érdekeire nézve. Ennek igazolása viszont nehéz a legtöbb gyakorlati esetben, és általában hozzájárulás kérése jelenti az egyetlen biztos megoldást az adatkezelő számára.
Személyes adatok törlése: kényes kérdés
Miközben a kisebb cégek jó része még most is tájékozatlan a GDPR elvárásait illetően, a nagyvállalatok tudatában vannak a rövidesen megváltozó helyzetnek, és jellemzően házon belül, saját erőforrásaikra támaszkodva próbálnak meg eleget tenni az új jogszabálynak. Leginkább a nagy ügyfélforgalmú, sok személyes adatot tároló szervezeteknél kulcskérdés a probléma profi megközelítése és megoldása. Könnyen belátható, hogy egy több százezer, vagy akár több millió ügyféllel rendelkező vállalatnál milyen körültekintően kell eljárni ahhoz, hogy például a GDPR értelmében kötelezően végrehajtandó törlési igényeket teljesítsék. Óhatatlanul felmerül a kérdés: Vajon a törölt személyes adatnak valóban sehol, semmilyen nyoma nem marad a rendszerben? Mi a helyzet például a logfájlokkal? Tényleg tökéletesen visszaállíthatatlanná, felismerhetetlenné tehetők a személyes adatok?
- Igen is meg nem is. Nem teljesen kizárt az adatok visszaállítása, de annak valószínűsége sok esetben csekély. Ha például rejtjelezzük a logfájlt a merevlemezen, akkor előbb meg kell szerezni a kulcsot, amivel a rejtjelezett adatokat vissza lehet fejteni. A másik lehetőség a logfájlok anonimizálása rejtjelezés nélkül. Ezt a megoldást szürke tartománynak nevezném, mivel az anonimizáció mértékét a lehetséges támadókhoz igazítják. Egy erősebb támadó esetén, aki nagy háttértudással rendelkezik a személyekről, és potenciálisan hozzáférhet azok anonimizált és egyéb személyes adataihoz, erősebb anonimizációt alkalmaznak. A GDPR is kimondja, hogy kockázatelemzési megközelítést kell alkalmazni. Meg kell vizsgálni, hogy a támadásnak mekkora a valószínűsége, továbbá mekkora a lehetséges kára az adattulajdonosokra nézve. E két értékből lehet kiszámolni a várható kockázatot. A védekezést a kockázat szintjéhez kell igazítani - hívja fel a figyelmet Ács Gergely. - A személyes adat törlését egyébként várhatóan nem mindig hajtja majd végre a cég. Léteznek ugyanis más törvények, amelyek azt nem engedik meg. A számlázási adatokat például öt évig nyilván kell tartani. Ha tehát egy ügyfél azzal fordul szolgáltatójához, hogy törölje adatait a rendszerből, akkor csak az öt évnél régebbiekkel teheti azt meg.
Általánosságban elmondható, hogy a cég nagyságától függ, mekkora feladatot jelent a személyes adatok nyomainak eltüntetése. Az adatok összefüggnek egymással, ezért egy kis- és középvállalatnál jellemzően egyszerűbb a feladat, mint egy nagy szervezetnél. Ha egy adatbázisból kitörlik valakinek a nevét és címét, de megtartják, mondjuk, az összes tranzakcióját, akkor az még személyes adat lehet, ha abból egyértelműen azonosítani lehet az illetőt. Nagy körültekintést igényel tehát annak eldöntése, hogy egy törlési igény esetén milyen adatokat kell kitörölni, illetve milyen adatokat lehet megtartani ahhoz, hogy ne sérüljenek a GDPR előírásai.
Adattörlés blokkláncban
Ha blokklánc-technológia esetén kéri valaki adatai törlését, elméleti megoldás lehet a blokklánc teljes újraépítése oly módon, hogy megváltoztatják vagy törlik a kritikus adatot. Ez azonban főleg elméleti lehetőség, hiszen egyrészt az összes szereplőt érintő teljes konszenzus szükséges hozzá, másrészt a legtöbb blokklánc újragenerálása és újraszámítása nagyon költséges lehet - véli Trinh Anh Tuan, a Corvinus Fintech Center vezetője. A szakértő a portfolio.hu-n megjelent írásában további lehetőségként említi a meglévő nyilvános blokklánc-technológiákra felépített hibrid megoldásokat is, ahol maga a blokklánc nem tartalmaz személyes információt, esetleg csak referenciát mindenre, ami személyes adatnak minősül. A gyakorlatban ezt különféle kriptográfiai elemekkel, például speciális hash-pointerekkel lehet megvalósítani. Ily módon olyan architektúra is kialakítható, ahol a személyes adatok sokkal egyszerűbben változtathatóak vagy törölhetőek.
