A GDPR a General Data Protection Regulation kezdőbetűiből képzett mozaikszó, magyarul általános adatvédelmi rendelet. 2018. május 25-én lépett hatályba és alapjaiban forgatta fel a korábbi adatvédelmi rutint. A legszigorúbb rendeletek között tartják számon: akár 20 millió eurós bírságot is kaphatnak azok, akik nem tartják be az adatvédelmi szabályokat.

Mi a GDPR és mi a megfelelés feltétele?

A GDPR egy Európai Uniós jogszabály, amit minden tagállamnak közvetlenül alkalmaznia kell. Magyarországnak 2011 óta egy elég erős Infotörvénye van (hivatalos nevén: Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény), ami az EU korábbi irányelvét alkalmazta. Így hazánkban nem kellett volna, hogy akkora fejfájást okozzon a GDPR-ra való áttérés.

Általánosságban elmondható, hogy a GDPR minden olyan cégre vonatkozik, amely EU-s állampolgárok személyes adatait tárolja. Személyes adatnak minősül minden olyan adat, amely alapján be lehet azonosítani a konkrét személyt.. Ilyenek lehetnek pl. a név, cím, telefonszám, IP-cím stb.

Azonban nemcsak az Európai Unión belüli vállalkozásokra vonatkozik, hanem akár tengerentúli cégekre is, ha azok kezelik uniós állampolgárok személyes adatait. Ezen kívül a szabályozás nemcsak honlapokra, webshopokra, hanem minden egyes vállalkozásra vonatkozik, amely személyes adatokat kezel. Ez alól csak a háztartási célú adatkezelések kivételek.

Kifejezetten a személyes adatokra terjed ki.. Csak azokat szabályozza, amelyekből az érintett, – akinek az adatait kezeljük- , valamilyen módon beazonosítható. 

A rendelet hozott néhány olyan jogosultságot vagy jogorvoslati lehetőséget is, amivel minden magánszemély élhet, akár a munkáltatójánál vagy valamilyen szolgáltatójánál. Magánszemélyként tudnunk kell milyen lehetőségeink vannak, milyen jogokkal élhetünk, munkáltatóként (adatkezelőként) pedig ezeket a jogokat biztosítani kell.

A megfelelés egy felkészüléssel elindítható, amit aztán évről-évre felül kell vizsgálni és karban kell tartani. Fontos kiemelni azt is, hogy mikor adatvédelemről beszélünk, legtöbbször ez a jogszabály jut elsőként eszünkbe, azonban nem szabad megragadni csak a GDPR-nál. Vállalkozásunkra vonatkozhatnak más helyi, nemzetköz, ágazati szabályozások is. 

Mekkora pénzbüntetést vonhat maga után a rendelet megsértése? Mekkora bírságok voltak a magyar piacon?

Amikor még Infotörvényről beszéltünk, 20 millió forint volt a legmagasabb kiszabható összeg bírságként, a GDPR-al ez a 20 millió megmaradt, azonban itt már euró az árfolyam, így a bírság összege 300-400x-os szorzót kapott. Most az éves árbevételnek a 4%-ig terjedő bírság kiszabása történhet, vagy 20 millió euró. Az éves árbevétel 4%-át cégcsoport szinten kell értelmezni. Tételezzük fel, hogy van egy vállalkozáscsoport, ahol a szlovák irodát büntetik meg. De ha olyan mértékű vétséget követett el az illető, akkor a bírság kiszabásánál az éves árbevételként a globális árbevételét veszik figyelembe (az összes irodának az árbevételét). A bírság összege így az igazán nagy piaci szereplőket is elrettenti a jogszabály megszegésétől.

A legnagyobb bírságot Magyarországon két telekommunikációs cég kapta: a UPC 60 millió és a Digi 100 millió forintot. A UPC a személyes ügyfélszolgálatukon zajló ügyintézés során készített hangfelvételek miatt kapta a bírságot, a Digi pedig a honlapjukon keresztül elérhető személyes adatok miatt. 2020 októberéig több mint 40 olyan nyilvánosságra hozott magyarországi ügyet ismerünk, ahol az adatvédelmi hatóság pénzbírságot szabott ki az adatkezelőkre, és jelenleg is több száz eljárás van folyamatban. Bankoktól elkezdve, utazási irodákon át sok piaci szereplő kapott bírságot, aki valamilyen szinten nem tett eleget kötelezettségeinek.

Az IT sérülékenységek közül mi az, amivel felhasználói adatok szivároghatnak ki? 

A GDPR-t tekintve általában az adatbázisok hozzáférhetősége, adatok eltulajdonítása az, amivel felhasználói adatok szivároghatnak ki. Adatvédelmi incidensről akkor beszélhetünk, ha az a sérülékenység a személyes adatokra kihatással van. Így tehát, ha valaki illetéktelenül hozzáfér adatokhoz, akkor az természetesen GDPR szerinti adatvédelmi incidens, annak megfelelően kell kezelni. Magyar viszonylatban a GDPR bírságok közül 2-3 volt olyan, amit nyilvánosságra hoztak és IT sérülékenységhez köthető, például a Digi is ilyen volt. A többi bírság általában az érintetti megkeresések vagy az érintetti jogok nem megfelelő kezelése miatt történt. 

Mit kell tenni, ha GDPR-t érintő adatok szivárognak ki egy cégnél? Milyen törvényi kötelezettségek vannak ilyen esetben?

A GDPR konkrétan meghatározza, hogy milyen lépéseket kell tenni, amikor egy ilyen incidenst felfedeznek házon belül, vagy ha bejelentés érkezik házon kívülről. 

A rendelet kimondja, hogy az incidenst be kell jelenteni a hatóságnak, amennyiben az az érintettre nézve hatást gyakorol vagy kockázattal jár. Ezt 72 órán belül kell megtenni, indokolatlan késedelem nélkül. Ha magas kockázattal jár az érintettre nézve, akkor magát az érintettet is tájékoztatni kell az incidensekről. 

Példa: nyilvánosan hozzáférhető adatbázisban tároltuk a személyazonosító adatokat, bankkártya adatokat, tranzakciós adatokat. Ez magas kockázatúnak értékelhető, így meg kell tenni a hatósági bejelentést, és az érintetteknek egyesével ki kell küldeni a tájékoztatót, hogy rájuk nézve mit jelent, milyen javasolt intézkedéseket tegyen meg. Például változtassa meg a jelszavát ott, ahol ugyanezt a jelszót használta. Mindezek mögött egy adminisztratív teher is van, hiszen jegyzőkönyvet kell készíteni, nyilvántartásba kell venni, kockázatelemzést kell lefolytatni az esetről.

Mi a teendő egy sérülékenység által okozott GDPR probléma felfedezése esetén műszaki szempontból?

Ha szembesülünk egy személyes adatokat is érintő sérülékenységgel, azonnal el kell kezdeni a hiba kijavítását vagy olyan intézkedést kell hozni, amellyel megakadályozható a hiba kihasználása, a további károkozás lehetősége. Az éves tervezés során pedig értékelni kell ezeket a feltárt problémákat és szükség esetén a biztonság megerősítésére nagyobb erőforrást kell allokálni. Ha az incidens egy alkalmazásunkkal történt meg, ki kell adni egy újabb verziószámot, frissíteni kell a terméket, ami befoltozza a hibát.

Mit tehetünk megelőzés szempontjából?

A sérülékenységeket nézve folyamatos teszteléssel lehet őket megelőzni, illetve a GDPR esetében is hasonló folyamatosságra van szükség. Az elmúlt évben például a hatóság címe megváltozott és nagyon kevesen cserélték ki a tájékoztatójukban. 

A megelőzés mindig éberséget igényel: nézzük át eddig mit csináltunk, változott-e bármilyen külső vagy belső folyamat, elvárás. Egy jól kiépített rendszert sokkal könnyebb fenntartani, mint bevezetések nélkül, vagy lemásolva valamit, később tüzet oltani. 

A munkavállalói oktatás szintén elengedhetetlen, hiszen ha ők nem ismerik fel a problémát vagy nem tudják mit kell ilyenkor tenni, akkor a 72 órás bejelentési idő nagyon kevés lesz egy incidens kezelésére. Ha biztosra akarunk menni, csináltassunk GDPR auditot, IT auditot, pentesztet vagy nyissunk akár bug bounty programot. Ezek mind segítenek felderíteni a gyenge pontjainkat és folyamatosan tudjuk fejleszteni biztonságunkat.

Olyan szolgáltatásnál, ami online is elérhető vagy digitális formában valósul meg, indokolt valamilyen tesztelés, például egy bug bounty. Ez a program folyamatos tesztelési lehetőséget biztosít és egy egész etikus hacker közösség tárja fel a sérülékenységeket. Marketing szempontból is kiváló lehetőség, hiszen így ügyfeleink számára is nyilvánvaló lesz, hogy adataik jó kezekben vannak.

A GDPR megfelelést nem érdemes félvállról venni, hiszen ahogy a fenti példák is mutatták, a büntetés hatalmas összeg is lehet. A bug bounty program egy jóval költséghatékonyabb megoldás, melynek segítségével a sérülékenységek még ideje korán feltérképezhetőek.