A hatóság kötelezővé akarja tenni a titkosított adatküldést

november 18, 2020
Cikkek, GDPR oktatás

A Dán Adatvédelmi Hatóság (Datatilsynet) munkájáról korábban legfőképpen a kiszabott adatvédelmi bírságai kapcsán írtunk. A Hatóság azonban 2020. október 22-én publikálta kiadványát, melyben arról értekezik, hogy az adatkezelőknek a jövőben kötelessége lenne minden, ügyfeleikre vonatkozó adattovábbítás esetén titkosított kapcsolatot igénybe vennie. Ez az adatforgalom mindkét irányára vonatkozna, tehát az adatkezelőknek a felhasználói adatok gyűjtésekor is biztonságos kapcsolaton kereszül kell megoldania a titkosított adatküldést.

Egy 2018-as közleményében a Hatóság már kimondta, hogy a privát szektor résztvevőinek kötelessége biztonságos kapcsolat biztosítása, ha e-mailen vagy az interneten keresztül más módon érzékeny adatokat továbbítanak. Elmondásuk szerint ezt követően a Datasilsynethez számos bejelentés érkezett olyan esetekről, ahol más hatóságok vagy cégek úgy továbbítottak érzékeny személyes adatokat, hogy azok teljesen titkosítatlanok voltak.

A friss közlemény szerint a jövőben az adatkezelők felelőssége lesz, hogy a felek között létrejött információcsere biztonságát garantálják megfelelő biztonsági és szervezeti intézkedések alkalmazásával. Példaként a Digital Post szolgáltatást hozzák, de kiemelik, hogy más hasonlóan biztonságos alternatíva is használható. Fontos megjegyezni, hogy az adatkezelőknek ez a kötelessége nem áll fenn abban az esetben, ha a felhasználók kéretlenül küldenek adatot részükre. Ebben az esetben a megfelelő biztonság szavatolása a küldést kezdeményező fél felelőssége.

A korábban említett 2018-as közleményre érkezett visszajelzések kapcsán a Hatóság megvizsgálta, hogy olyan esetben, amikor egy cég vagy hatóság adatokat kér egy érintettől, melyik fél tekinthető adatkezelőnek. A többi európai hatósággal való egyeztetés után megállapították, hogy ilyen esetekben a hatóságok vagy a cégek az adatkezelők, így a GDPR való megfelelést is nekik kell biztosítaniuk. Ezzel kapcsolatban a Datatilsynet hangsúlyozta, hogy ilyen esetben egyértelműen a hatóságok vagy cégek határozzák meg az adatok kezelésének célját, időtartamát, eszközeit, valamint azt is, hogy mely adatokra van szükségük az adatkezelés során.

A Hatóság álláspontja szerint az adatkezelők kötelessége felmérni az adatkezelésükkel, vagy adatok továbbításával járó esetleges kockázatokat és eseti alapon meghozni a szükséges intézkedéseket az adatok biztonságos kezelése érdekében. Az azóta eltelt időben ezt az álláspontot annyival módosították, hogy biztonsági szempontból az a legkedvezőbb, ha a cégek és társaságok alapértelmezettként biztonságos kapcsolatokat használnak.

Az érintettekkel megvalósuló kommunikációt azonban több szinten is érdemes az adatkezelőknek biztosítani. Egyrészt, ahogy a hatóság is leírja, a biztonságos, titkosított kommunikációs csatorna biztosítása alapvető fontosságú, emellett azonban érdemes azon is elgondolkozni az adatkezelőknek, hogy a csatolmányokat is külön jelszóval védje. Így nem csak azt tudja kivédeni az adatkezelő, hogy „útközben” illetéktelenek hozzáférjenek az adatokhoz, hanem azt is, hogy véletlenül félreküldés esetén a téves címzett hozzáférhessen a mellékletként csatolt fájlokhoz. Erre tökéletes eszköz lehet például a 7zip nevű alkalmazás, mely ingyenes, bárki által letölthető, és lehetőség van a jelszavas védelem beállítására.

A Francia Hatóság reakciója a British Airways és Marriott bírságokra

NAIH határozat: Munkahelyi kamerás megfigyelés jogszerűsége

51 ezer quebeci tanár adatai jutottak hackerek kezére