GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról
A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:
A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.
Mi az a GDPR és miért érint minden céget?
A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.
A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:
munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.
A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.
Az adatvédelem hét alapelve — cégvezetői olvasatban
A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:
Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.
Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.
Ki az adatkezelő és ki az adatfeldolgozó?
A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.
Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.
Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.
Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.
Mire adhat jogalapot az adatkezelés?
A GDPR hat jogalapot ismer:
Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.
A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.
Az érintett személyek jogai — amit a cégnek biztosítania kell
A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:
Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
Hozzáférési jog — az érintett kérheti az adatai másolatát.
Helyesbítési jog — kérheti a pontatlan adatok javítását.
Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.
Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.
Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít
Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.
Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.
Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.
Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”
A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.
A bizonyítás eszközei lehetnek:
adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.
Szankciók: mennyibe kerülhet a meg nem felelés?
A GDPR kétfokozatú bírságrendszert vezet be:
Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.
A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.
Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.
Hogyan érdemes hozzáfogni?
A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:
Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?
Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.
Gyakori kérdések
Ki köteles betartani a GDPR-t?
Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.
Mi számít „személyes adatnak” a GDPR szerint?
Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.
Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?
Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.
Mennyi ideig lehet személyes adatokat tárolni?
Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.
Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?
Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.
Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?
Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.
NIS2 és eszközök selejtezése: miért vált vezetői felelősségi kérdéssé a leselejtezett eszközök adatbiztonsága
Egy közép- vagy nagyvállalatnál a leselejtezés ritkán látványos döntés. Többnyire notebookflotta-cseréhez, szervermodernizációhoz, irodaköltözéshez, telephelyi racionalizáláshoz vagy egy régebbi rendszer kivezetéséhez kapcsolódik. Ilyenkor a vezetői figyelem érthetően az új működés elindítására irányul. A kivont eszközökön maradt adatok sorsa könnyen háttérbe szorul.
Pedig vezetői szempontból ez nem mellékes kérdés. Ha egy vállalat nem tudja igazolható módon lezárni az adatok életciklusát a használatból kivont eszközökön, akkor a kockázat nem szűnik meg, csak kevésbé láthatóvá válik. A régi laptop, a szerver, az SSD, a mobiltelefon vagy a multifunkciós nyomtató ilyenkor már nem termelési eszköz, de adatbiztonsági szempontból továbbra is felelősséget hordoz.
A NIS2 ezt a problémát nem technikai részletként, hanem irányítási kérdésként teszi láthatóvá. A szabályozási logika lényege nem az, hogy a vezetésnek adattörlő módszereket kellene kiválasztania, hanem az, hogy a kockázatkezelési intézkedéseket jóvá kell hagynia, a végrehajtást felügyelnie kell, és a hiányosságokért a vezetői felelősség sem zárható ki. Innen nézve a leselejtezett eszközök adatbiztonsága már nem háttérirodai ügy, hanem vezetői relevanciájú kockázat.
Miért lett ebből vezetői kérdés?
A vállalati gyakorlatban az egyik leggyakoribb tévedés az, hogy a selejtezést logisztikai utófolyamatként kezelik. Az eszköz kikerül a használatból, átmenetileg raktárba kerül, majd elszállítják, továbbértékesítik, bontásra adják vagy megsemmisítésre előkészítik. Sok szervezet itt fejben már lezártnak tekinti a kérdést.
Valójában azonban éppen ekkor kezdődik az a szakasz, ahol a felelősségi lánc a legkönnyebben fellazul. A beszerzés mást lát, mint az üzemeltetés. A helyi telephely mást, mint a központ. A compliance másképp tekint a kockázatra, mint a napi operáció. Külső partner bevonásakor pedig különösen könnyű összetéveszteni a kiszervezést a felelősség átadásával.
A NIS2 vezetői logikája ezt a kényelmes önfelmentést zárja le. A szabályozás azt üzeni, hogy a kiberkockázat-kezelés nem maradhat kizárólag az IT vagy a beszállító belső ügye. Ha egy szervezet adatokat kezel, akkor az adatok életciklusának lezárása ugyanúgy a felelős működés része, mint a hozzáférés-kezelés, a biztonsági mentés vagy a beszállítói kockázatok kezelése.
Nem az eszköz a probléma, hanem az adatok lezáratlan életciklusa
A felsővezetői nézőpont szempontjából a kérdés egyszerűbben fogalmazható meg, mint ahogy az sok szakmai anyagban szerepel. Nem az a döntő, hogy egy régi eszköz fizikailag hol van, hanem az, hogy a rajta kezelt adatok sorsa igazolhatóan lezárult-e.
Ha egy notebookflotta-csere után a kivont gépek hónapokig egy raktárban állnak, a kockázat nincs lezárva. Ha egy szervercsere során a régi háttértárakat külső partner szállítja el, de a megsemmisítés vagy adattörlés eredménye nem ellenőrizhető, a kockázat nincs lezárva. Ha egy nyomtató vagy multifunkciós eszköz belső tárhelye felett a vállalat nem rendelkezik világos eljárással, a kockázat nincs lezárva. Ugyanez igaz az okostelefonokra, táblagépekre, tartalék háttértárakra és a papíralapú iratokra is.
Ez azért lényeges vezetői felismerés, mert a reputációs és megfelelési károk jelentős része nem abból ered, hogy egy szervezetet rendkívüli technikai támadás ér, hanem abból, hogy egy alapvető működési folyamat végén nem tudja bizonyítani a kellő gondosságot. A különbség jogi, üzleti és reputációs értelemben is jelentős.
Mit mond erről a szabályozási környezet?
A NIS2 szövege a vezető testületek szintjén ír elő felelősséget: a vezetésnek jóvá kell hagynia a kiberbiztonsági kockázatkezelési intézkedéseket, felügyelnie kell azok végrehajtását, és a jogsértésekért felelősség is terhelheti. Ezzel a kiberbiztonságot egyértelműen vezetői szintre emeli.
Az uniós végrehajtási rendelet ennél is gyakorlatiasabb irányba megy tovább bizonyos érintett szervezetek esetében: az eszközkezelési szabályzatnak a teljes életciklust le kell fednie, beleértve a beszerzést, használatot, tárolást, szállítást és selejtezést, továbbá szabályokat kell adnia a biztonságos használatra, tárolásra, szállításra, valamint az eszközök vissza nem állítható törlésére és fizikai megsemmisítésére is.
Ez vezetői szempontból nem azt jelenti, hogy minden szervezetnél ugyanaz a technológiai módszer lenne az elvárt. Azt jelenti, hogy az eszközkivonás és adattörlés nem maradhat informális, dokumentálatlan vagy ellenőrizhetetlen folyamat. A kérdés a felelős irányítás szintjén dől el: van-e világos rend, van-e nyomon követhetőség, és van-e utólag bemutatható bizonyíték.
Európai példák: amikor a háttérfolyamatból incidens lett
A probléma nem elméleti. Az Egyesült Királyságban a Brighton and Sussex University Hospitals NHS Trust ügyében az információs hatóság 325 000 fontos bírságot szabott ki nem biztonságos hardverselejtezés miatt. A nyilvános beszámolók szerint a szervezet kontrollköréből kikerülő merevlemezeken érzékeny személyes adatok maradtak. Vezetői szempontból ennek tanulsága nem pusztán annyi, hogy „hibás volt a törlés”, hanem az, hogy a szervezet nem rendelkezett kellően szigorú, ellenőrzött végrehajtási lánccal.
Az ír adatvédelmi hatóság esettanulmányai más oldalról mutatják meg ugyanennek a kérdésnek a lényegét. Az egyik ügyben otthoni munkavégzés során toborzási dokumentumok és önéletrajzok kerültek nem megfelelő módon a háztartási hulladékba. A tanulság itt az, hogy a vezetői felelősség nem merül ki abban, hogy a szervezet általános utasítást ad a helyes eljárásra. A megfelelő folyamat, eszköz és elszámoltathatóság hiánya önmagában kockázat.
A két ügy közös tanulsága, hogy az adatbiztonság gyenge pontja gyakran nem a központi rendszer, hanem az a pillanat, amikor a szervezet úgy érzi: az adott eszköz, dokumentum vagy adathordozó már kívül esik a valódi üzleti működésen. A legtöbb hiba itt nem rosszindulatból, hanem laza folyamatokból, hézagos felelősségből és nem kellően ellenőrzött kiszervezésből ered.
Dokumentált, kontrollált selejtezési folyamat: az adatbiztonság ott kezdődik, ahol a napi működés véget ér.
Miért különösen érzékeny ez a magyar közép- és nagyvállalati szegmensben?
A nagyobb szervezeteknél a kockázat tipikusan nem azért nő meg, mert a vezetés ne értené az adatbiztonság fontosságát. Inkább azért, mert az eszközök kivonása több szervezeti egységet, telephelyet, külső partnert és döntési pontot érint. Minél nagyobb a szervezet, annál könnyebb azt feltételezni, hogy „valaki biztosan kezeli” ezt a területet.
Ez a feltételezés különösen veszélyes. Egy telephelybezárás, egy rendszerkivezetés, egy irodaköltözés vagy egy eszközfrissítési projekt során gyakran éppen az időnyomás, a felelősségi határok és a külső partnerek koordinációja miatt keletkezik kockázat. A későbbi kérdés pedig rendszerint nem az lesz, hogy történt-e selejtezés, hanem az, hogy az egész folyamat visszanézhető, ellenőrizhető és igazolható volt-e.
Magyar vállalati környezetben ez külön jelentőséget kap, mert a megfelelési elvárások és az auditálhatóság iránti igény egyszerre erősödik. A felsővezetés számára ezért a helyes kérdés ma nem az, hogy van-e erre szolgáltató vagy technológia, hanem az, hogy a vállalat rendelkezik-e olyan működési renddel, amely a selejtezéstől az adattörlésen át a megsemmisítés igazolásáig végig egyértelmű.
Mi számít jó vezetői gyakorlatnak?
A jó gyakorlat nem az eszköz kiválasztásánál, hanem a felelős működési rendnél kezdődik. Egy felsővezetőnek nem adattörlő szoftvert kell választania, hanem olyan rendszert kell megkövetelnie, amelyben az adatéletciklus vége ugyanolyan fegyelmezetten kezelt, mint a működés többi kritikus pontja.
Ennek a gyakorlatnak legalább öt alapelve van.
1. Egyértelmű felelősségi rend.
Az eszközkivonásnak és adattörlésnek legyen világos tulajdonosa. Ne maradjon szürke zóna a beszerzés, az IT, az üzemeltetés, a compliance és a külső partner között.
2. Naprakész nyilvántartás.
A szervezet tudja pontosan, milyen eszközök kerülnek kivonásra, hol vannak, milyen adatot hordozhatnak, és mi történik velük a folyamat egyes szakaszaiban.
3. Szabályozott törlési vagy megsemmisítési eljárás.
Ne improvizáció, helyi gyakorlat vagy szóbeli rutin alapján történjen az adathordozók kezelése. A minősített szoftveres adattörlés vagy a fizikai megsemmisítés szabályozott keretek között legyen végrehajtva. A döntéshez segítséget nyújthat a fizikai megsemmisítés és tanúsított adattörlés közötti választás szempontjainak áttekintése.
4. Igazolható partnerkezelés.
Ha külső fél végzi az elszállítást, adattörlést vagy fizikai megsemmisítést, annak szerződéses, működési és bizonyítási oldala is legyen rendezett.
5. Auditálhatóság.
A folyamat eredménye utólag is legyen bemutatható. Az utólagos igazolhatóság ma már nem adminisztratív kényelmi elem, hanem vezetői védelem is.
Mit mutat a vállalati gyakorlat?
A Data Destroy több mint tíz éves tapasztalata alapján a kis-, közép- és nagyvállalati környezetben a leggyakoribb hiányosság nem az, hogy a szervezetek ne tekintenék érzékenynek az adataikat. A gyenge pont jellemzően ott jelenik meg, ahol az eszköz már kikerült a napi működés fókuszából, ezért a folyamat fegyelme is lazulni kezd.
A vállalatok többségénél nem technológiai, hanem irányítási hiányosságok okozzák a legnagyobb bizonytalanságot. Nincs minden szereplő számára egyértelmű felelősségi lánc, eltérő gyakorlatok működnek telephelyenként, és nem mindig készül olyan igazolási rend, amely audit vagy incidens esetén kellő biztonságot adna. Ezért válik a selejtezés sokszor jóval nagyobb vezetői kérdéssé, mint amilyennek elsőre látszik.
Vezetői összegzés
A leselejtezés nem logisztikai utómunka, hanem az adatkezelés utolsó, vezetői szempontból is releváns szakasza. Ahol az adattörlés vagy megsemmisítés nem igazolható, ott a kockázat valójában nincs lezárva. A vezetés feladata ezért nem a technológiai részletek eldöntése, hanem egy olyan működési rend megkövetelése, amelyben a felelősség egyértelmű, a végrehajtás nyomon követhető, az eredmény pedig bizonyítható.
Gyakori kérdések
Miért vezetői kérdés a leselejtezett IT-eszközök kezelése?
Mert a kockázat nem ér véget az eszköz használatának lezárásával. Ha a selejtezés, adattörlés vagy megsemmisítés nem ellenőrizhető és nem igazolható, abból üzleti, reputációs és megfelelési kockázat keletkezhet, amely már egyértelműen vezetői relevanciájú ügy.
Elég a fájlokat törölni vagy a meghajtót formázni?
Nem. A hagyományos törlés vagy formázás önmagában nem biztosítja, hogy az adatok ne legyenek visszaállíthatók. Vállalati környezetben a megfelelő megoldás mindig szabályozott, igazolható és a kockázati környezethez illesztett eljárást jelent.
Mely eszközök jelenthetnek kockázatot selejtezéskor?
Nemcsak a szerverek és a merevlemezek. Laptopok, SSD-k, mobiltelefonok, táblagépek, hálózati tárolók, nyomtatók, multifunkciós eszközök és más adathordozók is tartalmazhatnak üzleti vagy személyes adatokat.
Mi a legnagyobb hiba a vállalati gyakorlatban?
Az, amikor a selejtezést adminisztratív mellékfolyamatként kezelik. Ilyenkor sokszor nincs egyértelmű felelős, nincs zárt folyamat, nincs megfelelő igazolás, és a szervezet valójában nem tudja bemutatni, mi történt az adatokkal.
Mit érdemes elsőként felülvizsgálni?
A teljes eszközkivonási és selejtezési folyamatot: ki dönt, ki hagy jóvá, hogyan történik az adattörlés vagy megsemmisítés, milyen igazolás készül róla, és mit vállal a külső partner. A legtöbb kockázat nem technológiai, hanem folyamat- és felelősségi hiányosságból ered.
A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.
A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.
A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.
Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.
Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.
A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.
Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.
A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.
2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.
A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.
Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.
A kép csak illusztráció. Forrás: pixabay.com
Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.
A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.
Minőségi munkát vártak el
Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.
Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.
Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)
Autó alvázszámra semmi szükség
Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.
Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?
Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.
A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:
– az importőr nem megfelelően tájékoztatta az ügyfeleket
– megsértette a GDPR alapelveit
– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.
Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.
225 millió euró a második legnagyobb GDPR bírság. A 2018-ban indított GDPR ügyet a WhatsApp megtámadta, így az még sokáig elhúzódhat.
Az ír adatvédelmi hatóság még 2018-ban indította el a WhatsApp elleni vizsgálódását. A hatóságok szerint az üzenetküldő óriás vállalat nem megfelelően tájékoztatta az ügyfeleit arra vonatkozóan, hogy az adatait hogyan kezelte, több téren is hiányosságokat találtak.
Elnéző és lassú írek
Az ír hatóságok 2020 decemberében ismertették a többi adatvédelmi hatóságnak az elmarasztalás javaslatot. Az írek csak 30-50 millió eurós bírságot javasoltak, ám a javaslat nyolc megjegyzést kapott több adatvédelmi hatóság képviselőitől. Az ír adatvédelmi gyakorlatot a többi európai országok túl lassúnak és túl elnézőnek találják.
A végső döntés az European Data Protection Board (EDPB) vagyis az Európai Adatvédelmi Tanács kezébe került, aki 2021. június 3-án tárgyalta az ügyet. Az európai bürokráciához képest relatíve gyorsan, nyolc hét múlva már döntöttek is. A tanács nyolcszorosára növelte a javasolt bírságot. Álláspontja szerint annak kiszámításakor figyelembe kell venni az anyacég (Facebook) forgalmát is.
A második legnagyobb bírság
A hatóságok döntése értelmében a WhatsApp-nak módosítani kell adatkezelési gyakorlatán, amit részben meg is tett 2018 óta. A vállalat egyébként teljesen aránytalannak tartja a bírságot és fellebbez a döntés ellen. Az ír adatvédelmi hatóságnak egyébként tavaly év végén 14 nyitott ügye volt a Facebook és leányvállalataival, WhatsApp-pal és az Instagram-mal szemben.
REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT
