A GDPR hatályba lépése a szervizek és szolgáltatók működését, de még a vállalatok eszközmenedzsmentjét is átalakítja. A NAIH is megszólalt.

Bárkivel előfordulhat, hogy telefonját, tabletét, számítógépét szervizbe kell vinnie vagy garanciális cserét kell kérnie. Szintén gyakori eset, hogy munkahelyváltáskor az alkalmazottnak vissza kell adnia a munkáltatótól kapott digitális eszközöket. Mivel ezeken az eszközökről nagy valószínűséggel érzékeny személyes adatok is lehetnek, melyek kezelése a GDPR hatálya alá esik, felmerül a kérdés: mi garantálja az eszközökön lévő adatok biztonságát?

Kézenfekvő lenne persze, hogy mindenki törölje az adatait, mielőtt az adott eszközt átadja. Csakhogy visszaállíthatatlanul kevesen tudnak törölni adatokat az eszközükről, másrészt sokszor épp az a probléma, hogy a felhasználó nem is fér hozzá az adataihoz, mert az eszköz nem működik, vagy – vállalati eszköz esetén – csak korlátozott hozzáférése van.

Bár a 2011-től hatályban lévő Infotörvényt a törvényhozók már tavaly nyáron összhangba hozták GDPR-rel, számos olyan korábban született szektorális jogszabályt is módosítani kellett, amely tartalmaz adatvédelemre vonatkozó rendelkezéseket. Az országgyűlés áprilisban fogadta el azt a módosítót (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról), amely 85 különböző rendelkezést tett GDPR-kompatibilissé. (Az Infortörvény tavalyi módosításait itt foglaltuk össze.)

Módosítani kell a vállalati eszközök kezelését

Az áprilisi módosítás kapcsán az adattörléssel foglalkozó Blancco magyarországi képviselete állásfoglalást kért a Nemzeti Adatvédelmi és Információszabadság Hatóságtól (NAIH), hogy a különböző számítástechnikai adathordozókról mikor és milyen módszerrel kell törölni a személyes adatokat.

A NAIH jogértelmezése szerint egyértelmű, hogy a számítástechnikai eszközök adatoktól történő megtisztítását széles körben be kell iktatni a különböző munkahelyi és üzleti folyamatokba. Azaz ha egy munkavállaló a munkáltatója részére visszaadja céges mobiltelefonját vagy notebookját, akkor a munkáltató köteles arról bizonyíthatóan visszaállíthatatlanul törölni a személyes adatokat. A törlésről a munkavállaló jegyzőkönyvet kérhet, amelynek tartalmaznia kell a törlés módszerét, időpontját, eredményét, valamint a törölt adathordozó egyértelmű azonosítását lehetővé tévő sorozatszámot vagy IMEI számot.

A NAIH elnöke, Péterfalvi Attila álláspontja szerint a törlési kötelezettség nem ruházható át a munkavállalóra, és akkor is terheli a munkáltatót, ha az eszköz személyes célokra történő használatát a munkaszerződésben nem engedélyezte.

"Az Infotv. 3. § 13. pontja alapján »adattörlés: az adat felismerhetetlenné tétele oly módon, hogy a helyreállítása többé nem lehetséges«. A fenti jogszabályhely alapján az adatkezelőnek olyan módon kell törölnie az érintett személyes adatát, hogy annak helyreállítása a továbbiakban ne legyen lehetséges. A fentiekre tekintettel nem elegendő a merevlemezek, illetve más informatikai adathordozók »egyszerű formázása«. A beadványban említett ingyenes szoftver (DBAN) vagy bármely más »HDD wipe« jellegű szoftver is megfelelhet ennek a célnak" – írja Péterfalvi.

A szervizeknek is így kell eljárniuk

Az adattörlési kötelezettség a mobilszolgáltatókat és a szervizeket is terheli, ha egy mobiltelefont vagy notebookot garanciában újra cserél. Ilyenkor az ügyféltől átvett régi eszközről a cég köteles törölni a személyes adatokat, és erről törlési jegyzőkönyvet kell kiállítania. Péterfalvi álláspontja szerint az adatkezelés szempontjából nincs különbség aközött, hogy az érintett (azaz az eszköz használója vagy tulajdonosa) az adatkezelő munkavállalója vagy az ügyfele.
 

Péterfalvi Attila, a NAIH elnöke (MTI Fotó: Marjai János)


Az adatvédelmi biztos külön kitér az adathordozók megsemmisítésére. Mint írja, a piacon többen is foglalkoznak adathordozók szakszerű megsemmisítésével. Ugyanakkor a szakszerűség garantálása szempontjából fontos lehet, hogy a cég rendelkezzen olyan tanúsítvánnyal, ami ilyen jellegű profillal kapcsolatos. Szintén fontos, hogy a folyamat végén készüljön egy olyan hivatalos megsemmisítési jegyzőkönyv, amivel bármikor tudja igazolni a hatóságoknak és az érintetteknek, hogy az adathordozó, illetve a rajta tárolt adatok megsemmisítésre kerültek.

A gyakorlatban mindez azt jelenti, hogy évente sok millió eszközt kell fertőtleníteni a személyes adatoktól, és a mobiltelefonok, számítógépek nem kerülhetnek úgy leselejtezésre, adományozásra vagy értékesítésre, hogy ne történjen meg a törlésük – véli a compliance-tanácsadással foglalkozó L Tender-Consulting ügyvezetője, Molnár Gábor.

A törlendő adatok köre ráadásul meglehetősen széles. Életszerű például, hogy egy munkavállaló a részére rendelkezésre bocsátott notebookon magáncélból is felkeres különböző weboldalakat, így a böngészési előzményekből, esetleg a metaadatokból következtetni lehet egészségügyi állapotára és betegségeire, vallási hovatartozására és politikai nézeteire, szexuális szokásaira. Ezeket az adatokat pedig – jogszerűtlenül – a vállalat HR-osztálya is felhasználhatná, például egy menedzser előléptetésének elbírálása során.

A folyamatok kialakításánál érdemes figyelembe venni, hogy a 2020 januárjában életbe lépő e-Privacy rendelet a GDPR-nél szélesebben értelmezi a személyes adatok körét. A rendelet értelmében például különleges személyes adatként kell kezelni a metaadatokat is.

Biztonság

Nyílt interfészek a Nokia hálózati eszközeiben

A finn gyártó nem csak elméletben támogatja az OpenRAN kezdeményezést, a tervek szerint már idén megjelennek kínálatában a technológiát alkalmazó első hálózati termékek.
 
Már Budapesten is van olyan előadás, amit wifihálózat és mobiltelefon segítségével tettek interaktívvá.

a melléklet támogatója a TP-Link Magyarország

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.