skip to Main Content

A bíróság szerint csak indokolt esetben szükséges a végponti titkosítás

A Mainz-i Közigazgatási Bíróság 2020. december 17-én hozta nyilvánosságra döntését, melyben kimondta, hogy nem minden esetben szükséges hivatalos e-maileket végponti (e2e) titkosítással ellátni, elégséges csupán az e-mail rendszerben található általános titkosítás (Transport Layer Security; TLS).

A két titkosítási módszer közötti különbség a következő: a TLS egy olyan titkosítási módszer, mely a hálózaton belüli kommunikáció során kerül alkalmazásra. Alapvetően minden weboldal TLS titkosítást használ az oldal és a böngészők közötti kapcsolat során. Ebben az esetben ugyanaz a titkosítási kulcs kerül felhasználásra a titkosításkor és visszafejtéskor is. Ennek a kulcsnak a birtokában a kommunikáció visszafejthető, melyhez bizonyos esetben hozzáférhetnek szolgáltatók vagy esetleg hackerek. A végponttól-végpontig (e2e) titkosítás esetében azonban csak a kommunikációban résztvevő felek olvashatják vagy szerkeszthetik az üzeneteket, mivel azok elküldésükkor titkosításra kerülnek és csak megérkezésük pillanatában a fogadó fél által kerülnek visszafejtésre.

A bíróságnak azután kellett állást foglalnia, hogy egy német jogász csak TLS titkosítással ellátva küldte tovább az egyik folyamatban levő ügyére vonatkozó adatokat, melynek következtében a helyi adatvédelmi hatóság elmarasztalta. Ezt elsősorban azzal indokolta, hogy a végponti titkosítás elhagyásával a jogász megsértette a GDPR 32. cikkében foglalt rendelkezéseit az információbiztonsággal kapcsolatban. Azt is megjegyezték, hogy az igazságszolgáltatási rendszer dolgozói esetében ez különösen megengedhetetlen, mivel nekik kéne jó példával irányt mutatniuk.

Az ügyben érintett jogász nem értett egyet a Hatóság döntésével, és azzal kapcsolatban jogorvoslattal élt a bíróságnál, mely megállapította, hogy az megalapozott. Az ügyet megvizsgálva a bíróság arra az álláspontra jutott, hogy ebben a konkrét esetben az alapértelmezett titkosítás megfelelő volt és a GDPR 5. cikke nem írja elő az e2e titkosítást.

A Rendelet 5. cikk (1) bekezdés f) pontja („integritás és bizalmas jelleg”) ugyan megköveteli a személyes adatok biztonságos kezelését, ez a bíróság véleménye szerint viszont nem jelenti, hogy végponttól végpontig történő titkosítást kell alapértelmezetten alkalmazni. Itt a GDPR 32. cikk (1) bekezdésére hivatkoztak, mely megfelelő technikai és szervezeti intézkedéseket ír elő. A bíróság kimondta, hogy még olyan személyektől sem várható el a végponti titkosítás alapértelmezett alkalmazása, akiknek egyébként ügyfelükkel szemben titoktartási kötelezettségük van (pl. a ügyvédek). Az e2e titkosításra eseti alapokon, a szóban forgó ügy fontossága miatt lehet szükség, azonban ezt mindig külön, az adott ügy körülményeit figyelembe véve szükséges elbírálni.

A bíróság döntése jó hírt jelenthet olyan cégek számára, melyeknek nincs ügyfeleikkel kapcsolatban titoktartási kötelezettsége, mivel valamennyire megmagyarázza, hogy a gyakorlatban milyen biztonsági intézkedéseket követel meg a GDPR (egy német bíróság szerint). Tény, hogy a 32. cikk konkrétan nem fogalmaz meg biztonsági elvárásokat, hiszen a egy rendelet akkor tudja leginkább ellátni feladatát, ha technológia-semlegesen határozza meg a követelményeket, a lényeg tehát nem az, hogy milyen technikai módszerrel, hanem hogy a személyes adatok kezelésének biztonságát az adatkezelő biztosítsa. A bíróság döntésével eloszlatni kívánja a tévhiteket, hogy mostantól minden küldött e-mail esetében végponti (e2e) titkosításra lenne szükség alapértelmezetten.

A döntés egyelőre csak egyetlen bíróság álláspontját tükrözi, továbbra is azonban eldőlegesen a tagállami hatóságok feladata lesz a hasonló ügyek elbírálása. Mindenképp pozitívum azonban, hogy érdemes a hasonló döntéseket bírósági úton megkérdőjelezni, hiszen Európában egyre több eset mutatja, hogy az adatvédelmi hatóságok és a bíróságok között nincs mindenben egyetértés. Arra mindenesetre a jelen ügy is elég lehet, hogy a jövőben hivatkozási alapként szolgáljon hasonló ügyekben és párbeszédet indítson be a hatóságok között a GDPR pontos értelmezését illetően a kérdéskörben.

Back To Top