CLVPartners

CLV-02
Menu

Adatvédelmi incidens

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata

Adatvédelem, Hírek / / , , , , ,

Olvasási idő: 6 perc

A digitalizáció és az adatalapú döntéshozatal térnyerése következtében az érzékeny információk száma, és ezáltal a kiberfenyegetések kockázata is megnőtt. Szükségesé vált egy szabályrendszer kialakítása, ami iránymutatást nyújt a technológiai környezet által formált szemlélet, elvárások, és felelősségek kezelésére. Ennek két fő alappillére az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”), melyet a hazai szabályozás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvénnyel („Kiberbiztonsági Törvény”) ültetett át, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”), amely az adatvédelemi megfelelés biztosítását szolgálja.

A NIS2 Irányelv, ennek nyomán a hazai kiberbiztonsági előírások és a GDPR szabályozása más szempontrendszert alkalmaznak, azonban az érintett területek a gyakorlatban gyakran átfedésben vannak, különösen olyan elektronikus információs rendszerek esetében, amelyek személyes adatokat is kezelnek. Emiatt a két szabályrendszer által támasztott követelmények összehangolása elengedhetetlen az érintett vállalatok jogszerű és biztonságos működéshez. A jelen cikk a NIS2 Irányelv és a hazai szabályozás GDPR-ral való kapcsolatát, egymás közti átfedéseit, ütközéseit és azok gyakorlati feloldását mutatja be.

NIS2 és GDPR hatálya: kettős kötelezettségek

A GDPR hatálya valamennyi szervezetre kiterjed, amely adatkezelőnek minősül, azaz a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A NIS2 hatálya összetett szempontrendszer alapján került meghatározásra, ide tartozhat számos vállalkozás a végzett tevékenysége, valamit a mérete és árbevétele alapján. Így, ha egy entitás mind a NIS2 mind pedig a GDPR hatálya alá tartozik, mindkét rendszer szabályainak párhuzamosan kell megfelelnie. Például egy gyártási ágazatban működő közép-vagy nagyvállalat tevékenysége és mérete alapján a kiberbiztonsági szabályozás hatálya alá tartozhat, a tevékenysége során pedig jellemzően adatkezelőként legalább munkavállalói és beszállítói adatokat kezel, így a GDPR és a NIS2 rendelkezéseit is alkalmazni szükséges.

A gyakorlatban az elektronikus információs rendszerekben többnyire személyes adatokat is kezelnek, mint a HR rendszerek, ügyféladatbázis. Incidens bekövetkezése esetén mind a GDPR, mind a NIS2 szabályrendszere kötelezettséget ír elő a szervezet részére. Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a kiberbiztonsági incidens pedig olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. Így, ha egy kiberbiztonsági incidens esetén személyes adat is érintett, például phishing e-mail vagy zsarolóvírus támadás következtében adatvesztés, adatszivárgás történik, az egyúttal adatvédelmi incidenst is megvalósít. Ezért mindkét szabályozás alapján szükséges vizsgálni az incidenskezelésre vonatkozó előírásokat, a feltételek fennállása esetén az illetékes hatóságok felé a szükséges bejelentéseket megtenni. Ennek érdekében célszerű olyan belső eljárásrendet kialakítani, amely mind a két rendszer által megkívánt kötelezettségeket figyelembe veszi.

Az incidensek megfelelő minősítése kiemelten fontos, mivel a különböző incidensfajtákhoz eltérő bejelentési kötelezettségek, tartalmi követelmények és határidők kapcsolódnak. Adatvédelmi incidens esetén a szervezetnek mindenekelőtt azt kell mérlegelnie, hogy az esemény kockázatot jelent-e a természetes személyek jogaira és szabadságaira. Ha ez a kockázat valószínűsíthető, akkor az incidenst 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, magas kockázat valószínűsítése esetén pedig az érintettek tájékoztatása is kötelező. A kiberbiztonsági incidensekre ezzel szemben más eljárási rend vonatkozik: a szervezetnek a tudomásszerzéstől számított 24 órán belül bejelentést kell tennie a rendelkezésre álló adatok alapján, majd 72 órán belül részletes jelentést kell benyújtania, a teljes kivizsgálás lezárását követően pedig legkésőbb 30 napon belül zárójelentést kell eljuttatnia a nemzeti kiberbiztonsági incidenskezelő központ részére. Mivel a GDPR és a kiberbiztonsági szabályok az incidens fogalmát és a kapcsolódó feladatokat is eltérően határozzák meg, előfordulhat olyan helyzet, hogy egy esemény kiberbiztonsági incidensnek minősül ugyan, de nem igényel adatvédelmi incidensbejelentést.

A kettős megfelelés gyakorlati jelentőségét jól mutatja egy olyan közép-vagy nagyvállalat példája, amely „máshova nem sorolt gépgyártás” tevékenységet folytat, így a NIS2 irányelv hatálya alá tartozik. Ha a vállalatot olyan incidens éri, amelynek eredményeként a támadó jogosulatlanul hozzáfér egy olyan szerverhez, amelyen munkavállalók személyes adatai is találhatók, az eseményt nemcsak adatvédelmi szempontból szükséges értékelni, hanem a Kiberbiztonsági Törvény alapján is vizsgálni kell. A jogszabály értelmében minden olyan fenyegetést, incidensközeli helyzetet vagy tényleges incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst –, amely a szervezet működésében vagy szolgáltatásnyújtásában súlyos zavart vagy vagyoni hátrányt okoz, illetve más személyek számára jelentős vagyoni vagy nemvagyoni kárt eredményez, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül be kell jelenteni az illetékes kiberbiztonsági incidenskezelő központnak. Ez a helyzet jól rávilágít arra, hogy a szervezeteknek mindkét jogi követelményrendszernek egyszerre kell megfelelniük, és az incidensek kezelését ennek megfelelően kell kialakítaniuk.

Folyamatok összehangolása dokumentációs és operatív szinten

Amennyiben a szervezet a GDPR és a kiberbiztonsági szabályozás hatálya alá is tartozik, a kettős megfelelés érdekében a két szabályozás által megkövetelt dokumentációs és működési folyamatokat is szükséges összehangolni. A GDPR megköveteli, hogy a szervezet rendelkezzen adatvédelmi szabályzattal, érintettek részére adatkezelési tájékoztatóval, valamint egyes esetekben adatvédelmi hatásvizsgálat lefolytatását is előírja. A kiberbiztonsági szabályok hasonlóképp megkövetelik az információbiztonsági szabályzat megalkotását. Ezeken felül pedig mindkét rendszer megköveteli az incidenskezelési folyamatok szabályozását, valamint az érintett munkatársak képzését, tudatosságnövelését.

A NIS 2 és a GDPR előírásainak betartásáért a szervezet vezetője felel, a szakmai megfelelés biztosításában pedig az adatvédelmi tisztviselő és az elektronikus információs rendszerek biztonságáért felelős szakember játszik meghatározó szerepet. Ahhoz azonban, hogy a szervezet ne párhuzamos, egymástól elszigetelt folyamatokkal dolgozzon, elengedhetetlen az információbiztonsági és adatvédelmi felelősök valódi, napi szintű együttműködése. A két szabályozás követelményeinek összehangolása nem pusztán adminisztratív kérdés: jelentősége abban áll, hogy mindkét terület ugyanazokra az információs rendszerekre, adatfolyamatokra és kockázatokra épül, még ha eltérő szempontok szerint is vizsgálja azokat. Ha a szervezet egységesen, koherens módon alakítja ki folyamatait, akkor elkerülhetők az átfedések, csökkenthetők a hibalehetőségek, és biztosítható, hogy a kiberbiztonsági és adatvédelmi elvárások egyaránt teljesüljenek. Különösen az incidenskezelési folyamatokat érdemes úgy kialakítani, hogy egy esetlegesen bekövetkező esemény során egységes eljárásrend biztosítsa mindkét szabályrendszer szerinti kötelezettségek teljesítését. Ez nemcsak erőforrás-hatékony működést eredményez, hanem erősíti a szervezet jogszabályi megfelelését és a rendszerek biztonságát, miközben növeli az ügyfelek, partnerek és munkavállalók bizalmát is.

A NIS2 és a GDPR eltérő célokat szolgál, és más logikával közelíti meg ugyanazokat az eseményeket. Míg a GDPR elsődleges célja a természetes személyek jogainak és szabadságainak védelme, addig a NIS2 az információs rendszerek biztonságának megerősítésére, a szolgáltatások folytonosságának védelmére és a kiberfenyegetésekkel szembeni ellenállóképesség növelésére fókuszál. Ennek megfelelően a két rendszer mást vár el a szervezetektől: a GDPR az adattakarékosságot és a célhoz kötöttséget hangsúlyozza, míg a NIS2 kifejezetten megköveteli a részletes naplózást, a folyamatos monitorozást és a naplóállományok megőrzését. Ez sok esetben azt eredményezi, hogy a NIS2-nek való megfelelés nagy mennyiségű, technikailag kezelt személyes adat tárolását vonhatja maga után, amelyet adatvédelmi szempontból körültekintően kell kezelni.

A két szabályozás közötti látszólagos ütközések a gyakorlatban összehangolt megközelítéssel oldhatók fel. Az egyik legfontosabb lépés az információbiztonsági kockázatértékelések és a GDPR szerinti adatvédelmi hatásvizsgálatok integrálása, hiszen mindkettő ugyanazokat a rendszereket, adatfolyamatokat és kockázati tényezőket vizsgálja, csak eltérő nézőpontból. Emellett kiemelt jelentőségű a belső szabályzatok olyan módon történő kialakítása, hogy azok egyszerre feleljenek meg a kiberbiztonsági szabályok által előírt kötelező védelmi intézkedéseknek és a GDPR rendelkezéseinek.

A NIS 2 és a GDPR egyaránt megköveteli, hogy a szervezetek megfelelően képezzék mindazokat, akik hozzáférnek az információs rendszerekhez vagy személyes adatokat kezelnek. Érdemes ezért az oktatások stratégiai tervezését és tartalmi elemeit is összehangolni, figyelembe véve a kockázatelemzések eredményeit, a korábbi incidenseket, a jogszabályi változásokat és a szervezet biztonsági szakértőinek szakmai véleményét. A két szabályozási terület közötti valódi összhang nemcsak a jogszabályoknak való megfelelés miatt fontos, hanem a szervezet működésének biztonsága, a kockázatok csökkentése és a belső és külső bizalom megőrzése szempontjából is meghatározó.

Összegzés

A GDPR és a NIS2 irányelv eltérő célt szolgál, de sok ponton találkozik az információbiztonság követelményeiben. A kettős megfelelés ezért gondos összehangolást igényel: a szabályozások előírásainak közös értelmezése és a kapcsolódó eljárások integrálása eredményezheti, hogy egy szervezet egyszerre teljesíti mindkét rendszer elvárásait. A szakmai dokumentációk és működési folyamatok koherens átdolgozása, a belső felelősségi körök egyeztetése, valamint a rendszeres oktatás és auditok összehangolása elősegíti, hogy a GDPR adatvédelmi és a NIS2 kiberbiztonsági céljai egyaránt teljesüljenek. Mindezek betartása erősíti a szervezet információbiztonsági és adatvédelmi rezilienciáját, megfelelve a vonatkozó uniós és nemzeti jogszabályi követelményeknek.

Fotó forrása: pexels.com, Kevin Ku

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata Read More »

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok

Adatvédelem, Hírek / / , , ,

A technológiai fejlődéssel párhuzamosan számos olyan eszköz és módszer is megjelent, melyek célja a személyes adatokhoz való jogosulatlan hozzáférés szerzése. Bár a kibertámadásokhoz használt eszközök egyre fejlettebbek, a személyes adatokat továbbra is leginkább az emberi mulasztás és a figyelmetlenség veszélyezteti leginkább. Az Európai Unió 2016/679 számú rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében, ezek betartása elengedhetetlen a személyes adatok védelmének és az adatbiztonság megfelelő érvényesülése érdekében. A GDPR előírásokat tartalmaz arra vonatkozóan is, hogyan kell az adatkezelőknek eljárniuk egy adatvédelmi incidens esetén. Jelen cikkünkben az adatvédelmi incidensekkel kapcsolatos legfontosabb tudnivalókat foglaljuk össze.

Adatvédelmi incidens fogalma

A személyes adatok kezelése során az adatkezelőnek a GDPR -ban meghatározott intézkedéseket kell megtenniük, melyekkel biztosítják adatkezelésük biztonságát. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ahhoz, hogy egy sérülést incidensnek tekintsünk, az adatbiztonság sérülésének olyan mértékűnek kell lennie, hogy az érdemi kockázatot jelentsen a személyes adatok védelmére nézve. Az adatkezelőknek szükséges tisztában lenniük azzal, hogy nemcsak a személyes adatok elvesztése jelent adatvédelmi incidenst. Az adatvédelmi incidensek közé tartoznak:

  • Bizalmassági incidensek, melyek egyrészt a személyes adatok jogosulatlan közlésével valósulhatnak meg (pl.: egy téves címzettnek küldött e-mail, vagy ha személyes adatokat tartalmazó dokumentumok mentése nem megfelelő helyre történik, ezáltal megosztásra kerülhet egyébként hozzáférésre nem jogosult személlyel – aki akár a társaság más munkavállalója is lehet). Ugyanakkor bizalmassági incidenst szándékos magatartásból fakadó tevékenység is előidézhet (pl.: adathalász támadások révén történő jogosulatlan hozzáférés).
  • Integritási incidensek, melyek akkor következnek be, ha a kezelt személyes adatok megváltoznak (pl.: ha a könyveléshez – akár jogosultsággal rendelkező, akár jogsértést elkövető – hozzáférő személy átírja a fizetéseket, vagy az adatbázist oly módon törik fel, hogy személyes adatokat törölnek belőle).
  • Elérhetőségi incidensek melyekről a kezelt adat megsemmisülése (akár véletlen törlés, vagy ideiglenes szerverleállás által) valamint az adatokhoz való hozzáférés elvesztése esetében beszélünk (pl.: az ügyféladatbázis példányát tartalmazó laptop vagy adattároló elvész, vagy ellopják).

Összefoglalva, adatvédelmi incidensnek minősül, ha személyes adatokhoz illetéktelenül hozzáférnek, azokat engedély nélkül továbbítják, vagy ha azok elérhetetlenné válnak például zsarolóprogram általi titkosítás, véletlen elvesztés vagy megsemmisülés következtében.

Adatvédelmi incidensek következménye

Az adatvédelmi incidensek, amennyiben nem kezelik megfelelően és időben, súlyos fizikai, vagyoni vagy nem vagyoni kárt okozhat az érintett személyeknek. Ilyen következmény lehet például a pénzügyi veszteség, személyazonosság-lopás, jó hírnév sérelme, illetve a bizalmas adatok nyilvánosságra kerülése. Ezen felül az adatvédelmi incidenseknek az ügyfelek társaságba mint adatkezelőbe vetett bizalmának csökkenését, a nem megfelelő kezelésük pedig hatósági szankciót is vonhatnak maguk után.

Adatvédelmi incidensek bekövetkezése esetén követendő eljárás

Tekintettel arra, hogy az adatvédelmi incidenseknek igen súlyos következményei lehetnek, az adatkezelőnek az incidensről való tudomásszerzése esetén kötelezettsége, hogy a GDPR-ban foglaltak szerint kezelje a kialakult helyzetet. Ehhez azonban szükséges, hogy aki észleli, haladéktalanul jelentse a kijelölt adatvédelmi felelős részére. Ennek eljárásrendjét érdemes belső szabályzatban rögzíteni.

Incidensek nyilvántartása

A GDPR értelmében az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Incidensek bejelentése

Az adatvédelmi incidenseket az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak („NAIH”). Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat.

A bejelentéshez a NAIH, egy a honlapján elérhető formanyomtatványt is biztosít, melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő elektronikus úton (pl.: hivatali tárhelyen, vagy e-Papír szolgáltatáson) keresztül nyújthat be.

A bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • illetve az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Végül de nem utolsó sorban a bejelentésnek tartalmaznia kell az incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolatát.

A bejelentést csupán az úgynevezett „bagatell” incidensek esetében lehet mellőzni. Ilyen incidensnek minősül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, de a bekövetkezett incidenst ebben az esetben is rögzíteni kell a nyilvántartásban.

Érintettek tájékoztatása

Amennyiben feltehető, hogy az adatvédelmi incidens magas kockázattal jár az érintettek számára, az adatkezelőnek erről késedelem nélkül kell tájékoztatnia az egyéneket. Ennek az intézkedésnek az a célja, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket (pl. személyazonosító igazolvány ellopásának bejelentése, bankkártya zárolása).

A kockázatok értékelését minden incidens során egyedileg kell elvégezni. A folyamat során olyan szempontokat kell figyelembe venni, mint a személyes adatok típusa (pl.: különleges adat) és mennyisége, érintettek száma, érintettek azonosíthatóságának lehetősége.

A magas kockázattal járó adatvédelmi incidensről abban az esetben nem kell tájékoztatni az érintetteket, ha:

  • a személyes adatok olyan módon vannak titkosítva, amely értelmezhetetlenné teszi az adatokat;
  • az adatkezelő időközben megfelelő védelmi intézkedéseket hajtott végre;
  • vagy az tőle aránytalan erőfeszítést igényelne. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)

Összegzés

Az adatvédelmi incidensek tehát az adatbiztonság igen tág körű módon meghatározott sérülését jelenti. Az incidensek bekövetkezésének komoly vagyoni, illetve nem vagyoni károkat tudnak okozni az érintettek számára, a nem megfelelő módon történő kezelésük pedig akár több millió forintos pénzbírság kiszabását is eredményezhetik. Az adatkezelőknek kötelezettsége, hogy már az adatkezelésük során biztosítsák a személyes adatok védelmét. Elsősorban tehát érdemes a megelőzésre törekedni. A megfelelően kivitelezett biztonsági intézkedések (pl.: jogosultsági rendszerek kiépítése, jelszavak és eszközök megfelelő védelme) alkalmasak lehetnek az incidensek bekövetkezésének megakadályozására. Ezek meghatározására és betartására célszerű előzetesen belső eljárásrendeket és akcióterveket készíteni és rendszeres időközönként felülvizsgálni, valamint az adatkezelésben érintett személyek (pl. munkavállalók) részére megfelelő időközönként adatvédelmi képzést tartani. A konkrét adatvédelmi incidens bekövetkezésekor pedig ajánlott szakértőt bevonását is igényelni, tekintettel a formalizált hatósági eljárás speciális szabályaira, illetve az egyedi mérlegelés szükségességére.

Kép forrása: pixabay, pexels.com

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.