Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, GDPR) a személyes adatok kezelésére vonatkozóan alapelveket határoz meg, az alapelvek teljesüléséhez pedig részletes követelményrendszert állapít meg. A hatodik alapelv az integritás és bizalmas jelleg elve.
INTEGRITÁS
A GDPR rögzíti, hogy a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. A személyes adatokat olyan módon kell kezelni, amely biztosítja azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok jogosulatlan felhasználását.
A félreértések elkerülése érdekében fontos rögzíteni, hogy az integritás már jóval a jelenlegi szabályozás előtt is elvárás volt, maga az Infotv. és a korábbi adatvédelmi szabályozás is hangsúlyozta ennek fontosságát. Az integritás a közszférában (főként a közigazgatásban) az adatvédelemnél bővebb jelentéssel bír: magába foglalja az átláthatóságot, elszámoltathatóságot, a tisztességes, etikus működést és a működési folyamatok külső és belső hatásokkal szembeni védelmét, és az ehhez kapcsolódó etikai alapelveket is. Az informatikai értelemben vett integritás első sorban a kezelt adatok szándékos károkozás, helytelen kezelés vagy üzemzavari eredetű károsodások elleni védelmét jelenti, ez szűkebb tartomány, mint ami a GDPR fogalmába értendő. Az integritást ilyen szempontból egyfajta spektrumnak tekinthetjük, mely az alapvető fizikai védelemtől kezdve fokozatosan bővülve a szervezet alapvető működésének elvi szintű átgondolásáig terjed.
Az integritás megfelelő biztosításának feltétele, hogy az adatkezelési folyamatok egyértelműek legyenek. A folyamatok elemihez lehet meghatározni pontosan a kezelt adatokat, a kezelés módját, a kezelésre jogosultak körét és azokat a speciális adatvédelmi intézkedéseket, melyek betartása segíti az integritás megvalósulását. Az integritás szabályozás magába foglalja a szervezet munkatársaira vonatkozó magatartási szabályokat, ezek a munkaköri leírástól a belső szabályzatokig (pl. iratkezelési szabályzat, vagyonvédelmi szabályzat, informatikai eszközökre vonatkozó eljárásrend) terjedően, átfogóan és összhangban kell megjelenniük. Ezen túl az adatvédelem fizikai eszközei is fontosak: az adathordozók védelme az intézmény helységeitől a számítógépes hozzáférésekig vagy a biztonsági mentések elvégzéséig többszintű rendszert alkot.
A GDPR által előírt adatvédelmi tisztviselők egyik fontos feladata, hogy adott intézmény esetén áltassák az adatkezelés rendszerét, tisztában legyenek a folyamatokkal, eszközökkel és a védelem lehetőségeivel, felderítsék a potenciális „gyenge pontokat” és intézkedéseket javasoljanak azok elhárítására.
ADATVÉDELMI INCIDENS
Az integritással kapcsolatban fontos fogalom az adatvédelmi incidens. Az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Az Infotv. szerint az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről köteles nyilvántartást vezetni (adatkezelői nyilvántartás). Az adatkezelői nyilvántartásban az adatkezelő rögzíti az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket.
Az adatkezelő az adatvédelmi incidenst köteles haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő 72 órán belül bejelenteni a Hatóságnak (NAIH). Az adatvédelmi incidenst nem kell bejelenteni, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére, de az adatkezelői nyilvántartásban ettől függetlenül rögzíteni szükséges). Ha az adatkezelő a bejelentési kötelezettséget akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően haladéktalanul teljesíti, és a bejelentéshez mellékeli a késedelem okait feltáró nyilatkozatát is.
A bejelentési kötelezettség keretei között az adatkezelő
– ismerteti az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
– tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
– ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és
– ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett – az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb – intézkedéseket.
Ha a valamely információ a bejelentés időpontjában nem áll az adatkezelő rendelkezésére, azzal utólag – az információ rendelkezésre állásáról való tudomásszerzését követően haladéktalanul kiegészítheti a bejelentést.
A bejelentési kötelezettséget az adatkezelő – a minősített adatot tartalmazó bejelentés kivételével – a Hatóság által e célra biztosított elektronikus felületen teljesíti.
Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat (magas kockázatú adatvédelmi incidens), az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja. A tájékoztatási kötelezettség alól az Infotv. meghatározott esetekben felmentést ad.
Értelem szerűen az adatvédelmi incidens kezelésével kapcsolatos intézkedéseknek az intézmény belső szabályzataiban meg kell jelenniük. E tekintetben nem elégséges egy általános leírás, az adatkezelésre vonatkozószabályozásnak tükrözni kell az intézmény működéséből, a kezelt adatok jellegéből fakadó specialitásokat.
GYAKORLATI KÉRDÉSEK, PROBLÉMÁK
A szociális és gyermekjóléti ágazat komplex adatkezelést végez, ebben nem ritka, hogy a kezelésen kívül adatküldések is történekek rendszeresen, kifejezetten szenzitív adatokat érintően. Ezek az integritást tekintve jelentős kockázatokat hordoznak.
Magasabb kockázatúnak mondhatók az integráltan működnek szolgáltatások, különösen azokban az esetekben, amikor akár ágazaton kívüli területek is (pl. egészségügyi szolgáltatások) is megjelennek a rendszerben, hiszen a rendszer összetettségének növekedése önmagában is fokozott kockázattal jár, főként akkor, ha egymástól eltérő elveken szerveződő egységek működnek egy rendszerben.
Kiemelt kockázatú területnek tekinthető a gyermekjóléti és – védelmi ellátás, illetve azon intézmények, ahol az adatvédelmi incidensek kifejezetten súlyosak lehetnek (pl. egy zártan kezelendő jelzés esetén), de a szociális terület esetén is vannak önmagában véve fokozott adatvédelmet igénylő területek.
Az intézményi infrastruktúra tekintetében a multifunkcionális helységhasználat szintén kockázat, alapvetően szükséges lenne a kliensmunkára („ügyfelezésre”) használt helységek egyértelmű és következetes térbeli és időbeli elválasztása az adatkezelési folyamatoktól. Ez sok helyen az infrastrukturális elégtelenség miatt nem megoldható. Ilyen esetekben a jól átgondolt belső szabályrendszer kidolgozása és betartása a kockázat csökkenését eredményez, de azt nem szünteti meg.
További kockázati elem az elavult informatikai eszközök (hardver és szoftver) alkalmazása (szintén általános problémának mondható), nem megfelelő beállítása, biztonsági mentésekkel, jogosultság kezeléssel kapcsolatos szabályozások elégtelensége vagy akár teljes hiánya.
Kockázatot jelenthet maga a terepmunka, kiemelten akkor, ha a munkatárs pl. informatikai eszközt (laptopot) visz magával, de bármilyen olyan adathordozó kockázatot jelent, amin az aktuális adatkezelési művelethez szükségesnél több adat található, ezek elvesztése, eltulajdonítása vagy sérülése súlyos adatvédelmi incidensnek minősíthetők.
Az elektronikus adatküldések esetén az e-mail kiemelt kockázatú lehet, a szervezeti domain hiányában alkalmazott publikus szolgáltatások (pl. Gmail, Indamail, stb.) vagy közösen használt (szervezeti egységhez kötődő) elektronikus levélfiókok használata fokozott figyelmet igényel.
Kapcsolódó anyagok
- GDPR alapelvek 1. – Jogszerűség, tisztességesség, átláthatóság
- GDPR alapelvek 2. – Célhoz kötöttség
- GDPR alapelvek 3. – Adattakarékosság
- GDPR alapelvek 4. – Pontosság
- GDPR alapelvek 5. – Korlátozott tárolhatóság
- GDPR alapelvek 6. – Integritás és bizalmas jelleg
- GDPR alapelvek 7. – Elszámoltathatóság
- Adatvédelmi tisztviselő
- 2016/679 európai parlamenti és tanácsi rendelet
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)