A címmel ellentétben nem is egy, hanem rögtön két NAIH határozat felidézésére kerül majd sor, annak bemutatása végett, hogy egyrészt milyen fontos szelete az adatvédelemnek az adatbiztonság aspektusa, másrészt mennyire érdemes odafigyelni, hogy a GDPR 32. cikkben írt „megfelelő technikai és szervezési intézkedéseket” ténylegesen megfelelően hajtsa végre az adatkezelő, és ezekkel ténylegesen a kockázat mértékének megfelelő szintű adatbiztonságot garantáljon.
A kérdéses NAIH határozatok a NAIH/2019/2668/2 számú határozat (11 M Ft bírság), illetve a NAIH/2020/1160/10 számú határozat (100 M Ft bírság). A két határozatra azért is érdemes felhívni a figyelmet, mert a bennük foglalt tényállást (adatvédelmi incidens bekövetkezése) ahogy mondani szokás mintha „vonalzóval rajzolták” volna, annyi párhuzam fedezhető fel. (Mindkét határozat elérhető a https://naih.hu/hatosagi-hatarozatok—vegzesek.html linken.)
Mindkét esetben adatvédelmi incidens következett tehát be, és mindkét esetben az online térben valósult meg az esemény (az egyik esetben „etikus” hacker – már abban az értelemben, hogy ugyan az érintett adatkezelő megbízása nélkül eljárva, de legalább a sérülékenységet először neki jelezve eljáró hacker volt – míg a másik esetben etikusnak ilyen formán sem nevezhető személy fért hozzá az adatkezelő által kezelt személyes adatokhoz).
Az esetek közötti nagyfokú hasonlóság személtetésére álljon itt egy-egy megállapítása a határozatoknak:
Az első esetben:
„A támadást végrehajtó hacker honlapján (a fent hivatkozott blogbejegyzésben) elérhető információk alapján a támadás egy a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg, amely abban állt, hogy a támadó képes volt a weboldalon át kapcsolatba lépni közvetlenül az adatbázissal, így annak utasításokat adhatott… A listában pedig első helyen egy 2013-as tesztrendszer fájljai voltak, benne a felhasználói adatokkal.”
A második esetben:
„Az incidenssel érintett adatok nagyobb része (kb. […] fő) egy […]-én tesztelési célból létrehozott […] megnevezésű adatbázis részét képezték. A tesztadatbázis létrehozásának okát és célját az Ügyfél naplófájlok, rendszer riasztások és levelezések megvizsgálása útján kísérelte meg rekonstruálni… A fenti hiba elhárítását, így az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt.”
A fenti nagyon rövid részletek is rávilágítanak két igen fontos tanulságra, amely nem csak az adatkezelésre szolgáló, hanem bármely az ember által tervezett rendszer működési kockázatainak felmérése során mindig az első helyen kell, hogy szerepeljen:
1. Minden rendszer annyira gyenge, amilyen gyenge a leggyengébb eleme.
2. Minden rendszer leggyengébb eleme az ember(i tényező).
Adatvédelmi szempontból a GDPR 32. cikke egy meglehetősen széles viszonyítási tartományban értelmezhető kötelezettséget ró az adatkezelőkre:
- légy figyelemmel a tudomány és a technológia állására, illetve a megvalósítási költségekre, mindemellett
- alakíts ki és működtess olyan szervezési és technikai védelmi intézkedéseket, amelyek arányosak (az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével) és
- az előbbi két szempontra figyelemmel garantáld a kockázat mértékének megfelelő szintű adatbiztonságot.
A megfelelő technikai és szervezési intézkedések sorában szerencsés esetben megjelenik egyfajta belső szabályozottság (van pl. IBSZ), illetve a feladatok felelősök nagy vonalakban ki vannak kristályosodva (szerencsés esetben munkaköri leírás, vagy belső szabályozó formájában, kevésbé szerencsés esetben a „szájhagyomány/szokásjog” kombó az irányadó). Az ettől messzebb merészkedők esetleg már arra is ügyeltek, hogy legyen az adatvédelmi kérdéseket szabályozó „irat” (szabályzat, incidens kezelési eljárásrend).
Gyakorlati tapasztalatom ugyanakkor, hogy mindezek után a talán legfontosabb két (kettő és fél) lépést mulasztják el az adatkezelők:
- a kialakult/kialakított belső szabályokat, helyes/jogszerű/elvárt gyakorlatot oktatni (és ismét és ismét oktatni, hiszen ez az egyik legfontosabb/leghatékonyabb “szervezési intézkedés”);
- a szabályok tényleges megvalósulását rendszeresen ellenőrizni (mert ez a másik leghasznosabb szervezési intézkedés);
- kettő és feledik lépésként néha-néha külső audittal revízió alá vonni a működést, illetve a belső ellenőrzés megállapításait (és lehet, hogy szentségtörésnek tűnik: a saját rendszergazda, belső IT vezető/felelős/megbízott tevékenységét is olykor ellenőriztetni kell).
Ugyancsak gyakorlati tapasztalatom, hogy a fenti lépések megtétele kapcsán „a megvalósítás költségeire figyelemmel” kitétel szinte minden esetben az egyik legfontosabb „ellenható” érv.
Nagyon úgy tűnik, hogy az európai adatvédelmi hatóságok a bekövetkező, és az érintettek széles körét és/vagy érzékeny személyes adatait érintő adatvédelmi incidensek vizsgálata és megítélése során a „vastagabban fogó ceruzát” alkalmazzák. (Ez látható volt az elmúlt időszakban a bolgár, az angol, a francia, vagy akár a lengyel felügyeleti hatóság határozatiból is.) A hatósági álláspont – teszem hozzá teljesen érthetően és támogathatóan – az, hogy amely adatkezelő széles körben (online/elektronikusan) gyűjt, tárol, dolgoz fel személyes adatokat, annak egy jelentősen emelt kockázattal kell kalkulálnia, és az ennek megfelelő adatbiztonsági szintet kell megteremtenie (személyi és tárgyi értelemben is).
Adatkezelői szempontból a jövőben a megfelelő technikai és szervezési intézkedések kialakításáról történő döntés során, különösen a megvalósítás költségeinek kalkulálása keretében célszerű lesz tehát a továbbiakban annak a költségét is mérlegelni, hogy valószínűsíthetően mekkora összegű hatósági marasztalást fog eredményezni egy bekövetkezett adatvédelmi incidens. Meggyőződésem, hogy mindkét fent említett esetben az adott adatkezelő költségvetésében – a végül kiszabott bírsághoz képest – egy kisebb tétellel lefedhető lett volna a megfelelő szervezési illetve technikai intézkedés kialakítása, pláne annak akár rendszeres ellenőrzése.