Munkaidő-nyilvántartási célú fotózás és VPN
A Francia Adatvédelmi Hatóság (CNIL) a közérdeklődés számára leginkább a Google ellen kiszabott hatalmas bírságáról ismert, azonban ennél kisebb horderejű adatvédelmi ügyekben is aktív, mint a cookiek kérdése, vagy a hatásvizsgálatok végzésének segítése. Az alábbiakban összefoglaltuk két iránymutatásukat a munkahelyi fotózás és egy megbízhatatlan VPN szolgáltatás kapcsán.
Nem biztonságos VPN szolgáltatás
A Hatóság 2020. augusztus 28-án adott ki egy közleményt a „Pulse Secure” nevű online eszközzel kapcsolatban. Az eszköz virtuális hálózatok létrehozására specializálódik, melynek segítségével biztonságos kapcsolat alakítható ki a céges informatikai rendszerek és egy távoli számítógép között.
Mint utólag kiderült, a kapcsolat mégsem volt olyan biztonságos, mint ahogy azt a fejlesztő cég állította, ugyanis egy felhasználó 2020 augusztusának végén egy, a programban levő sérülékenységet kihasználva hozzáfért, majd megosztott közel 900 céggel kapcsolatos információkat. Fontos hozzátenni, hogy az adatokat egy korábbi verzió használatával szerezte meg, a hibát egy frissítéssel azóta már eltávolították, azonban valljuk be, a sales-eseknek ez sem túl nagy muníció. A megszerzett adatok között voltak a sérülékeny szerverek IP címei, hozzáférési kulcsok, a felhasználók listája és kapcsolódási információi, illetve jelszavai.
A cég azóta betömte a biztonsági rést, és egy tájékoztatást is kiadott az incidenssel kapcsolatban, melyben részletesen megtalálható a biztonsági hiba leírása, az, hogy mely verziók érintettek, illetve a biztonsági javítás letöltéséhez szükséges információk.
A CNIL azt ajánlotta az ügyben érintett cégeknek, hogy generáljanak új jelszavakat minden felhasználójukhoz, továbbá folyamatosan kövessék nyomon az informatikai rendszereikben történő aktivitást, hogy a hasonló incidenseket a jövőben minél előbb megállíthassák.
Jó példaként szolgálhat ez az eset is a mai világunkban, amikor az interneten ismeretlen hátterű cégek gyönyörű weblapokon állítják magukról, hogy kínai fal szintű kibervédelmet, biztonságos VPN hozzáférést vagy biztonságos chat/e-mail szolgáltatást nyújtanak. Fontos ilyen esetekben a csillogó weblap „mögé” nézni, és folytatni minimális háttérkutatást a szolgáltatókkal kapcsolatban…ennél többet az átlag halandó úgysem tud tenni.
Figyelmeztetés a munkavállalók munkaidő-nyilvántartási célú fotózásával kapcsolatban
A Hatóság 2020. augusztus 27-én jelentette be, hogy több cégnek is figyelmeztetést küldött az alkalmazottak munkahelyi kamerarendszerekkel történő megfigyelése miatt. Kifejezetten azokat a rendszereket illették kritikával, melyek minden egyes ki- és belépéskor felvételt készítenek a munkavállalókról. A 2019 márciusa és szeptembere között tartó vizsgálatában négy helyen állapították meg hasonló rendszerek használatát.
A Hatóság véleménye szerint a rendszeres és szükségtelen fotókészítés az alkalmazottakról ellentmond a GDPR 5. cikk (1) c) pontjának, az „adattakarékosság” elvének. A Francia Legfelsőbb Bíróság korábban már állást foglalt a munkavállalók GPS-szel történő nyomkövetésével kapcsolatban, mely kimondta, hogy az csak abban az esetben alkalmazható, amennyiben a munkaadónak nem áll rendelkezésére más, olyan jogszerű lehetőség ugyanezen feladat elvégzésére, mely esetben az érintettek jogai és szabadságai kevésbé sérülnek. Hasonló témában adott ki közleményt egyébként nemrég a lengyel hatóság (UODO) is.
A korábban említett adattakarékossági elvre való tekintettel a CNIL megjegyezte, hogy az így végzett adatkezelés túlzó és szükségtelen; ugyanezen cél elérésére alkalmas lehet egy „hagyományos” munkaidő-nyilvántartó rendszer, melynek használata nem jár fotó készítésével. Megjegyezték továbbá, hogy az adatkezelések vizsgálatakor szinte soha nem tapasztalt olyat, hogy a cég a készített képeket a megjelölt célra használta volna, illetve nem volt folyamatban egyetlen olyan belső vizsgálat sem, melyben a rendszer által készített fotók szerephez jutottak volna.
A CNIL ezért az ügyben érintett összes céget figyelmeztette, hogy azok három hónapon belül változtassák meg az ellenőrzési, munkaidő-nyilvántartási rendszerüket oly módon, hogy az a GDPR-ral összhangba kerüljön. Figyelmeztetett, hogy azok a cégek, melyek a kért változtatásokat nem hajtják végre a megjelölt határidőn belül, a jövőben akár adatvédelmi bírság kiszabására számíthatnak.
