A GDPR jelentősen befolyásolja, hogy a szervezetek hogyan dolgoznak a személyes adatokkal. A vállalat azon alkalmazottai mellett, akik közvetlenül kezelik az adatokat, fontos figyelmet fordítani azokra a külső szereplőkre is, akik szolgáltatásuk nyújtása során hozzáférhetnek az adatokhoz.
Tipikus példa erre egy IT-szolgáltató, aki szervizelést, karbantartást, technikai támogatást vagy információs rendszerek üzemeltetését végzi.
Sok alkalmazott, de néhány beszállító sem tudja, hogy már a személyes adatokba való betekintés lehetősége is azt jelenti, hogy a beszállító a GDPR szerint adatfeldolgozónak minősül. Ezért fontos megérteni, miért van ez így, és milyen következményekkel jár a szervezet számára.
A GDPR 4. cikke szerint - „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Ki az adatfeldolgozó a GDPR szerint?
A GDPR szerint adatfeldolgozó az a szervezet, amely:
- a személyes adatokat az adatkezelő nevében dolgozza fel,
- és az ő utasításai alapján jár el.
Ez azt jelenti, hogy ha egy külső cég olyan tevékenységet végez, amelynek során láthat, megszerezhet vagy feldolgozhat személyes adatokat – akár csak közvetetten, karbantartás közben –, akkor automatikusan az adatfeldolgozó kategóriába tartozik.
Az IT-szolgáltatások nyújtása során ilyen helyzetek adódhatnak:
- adatbázis-hiba javítása,
- rendszerkarbantartás,
- hibadiagnosztika,
- távoli hozzáférés a rendszerhez,
- szoftverfrissítés vagy konfiguráció beállítása,
- adatok mentése vagy visszaállítása,
- adatátköltöztetés.
Ezekben az esetekben a szakember – legalábbis potenciálisan – hozzáférhet a rendszerben tárolt személyes adatokhoz. Ez pedig teljes mértékben elegendő ahhoz, hogy a GDPR alapján adatfeldolgozónak minősüljön. A GDPR már a hozzáférés lehetőségét is adatkezelésnek tekinti.
Ezért az IT-támogatást nyújtó szolgáltatókra ugyanazok a szabályok vonatkoznak, mint bármely más szervezetre, amely adatokat dolgoz fel az adatkezelő nevében.
Az Európai Adatvédelmi Testület (EDPB) 07/2020. számú iránymutatása szerint a szolgáltató akkor is adatfeldolgozónak minősülhet, ha a személyes adatok feldolgozása nem a szolgáltatás fő célja, de a szolgáltatás elvégzéséhez rendszeres hozzáférés szükséges a személyes adatokhoz.
Miért nem lehet az IT-szolgáltatót „harmadik félnek” tekinteni?
A GDPR szerint harmadik fél az a szervezet, amely:
- nem vesz részt a személyes adatok feldolgozásában,
- és az adatkezelőtől nem kap adatokat, illetve nincs hozzáférése azokhoz.
Mivel az IT-szolgáltató támogatja azt a rendszert, amelyben az adatok tárolva vannak, része az adatkezelési folyamatnak. Így jogi értelemben nem lehet harmadik fél.
Mit jelent ez a szervezet számára?
Az IT-szolgáltató, aki potenciálisan hozzáférhet a személyes adatokhoz, adatfeldolgozónak minősül a GDPR szerint.
Az IT-szolgáltatóval adatfeldolgozási szerződést kell kötni a GDPR 28. cikke szerint. A szerződésnek írásban, akár elektronikus formában kell készülnie. Tartalmazható egy nagyobb megállapodás részeként, például szolgáltatási szint megállapodás (SLA) részeként. Az EDPB ajánlása szerint a 28. cikk szerinti elemeket célszerű egy helyen (pl. mellékletben) egyértelműen feltüntetni,
A szerződésnek legalább a következőket kell tartalmaznia:
- a feldolgozás jellege és célja,
- a személyes adatok típusa és az érintettek kategóriái,
- az adatkezelő kötelezettségei és jogai,
- biztonsági és szervezési intézkedések,
- titoktartási kötelezettség,
- audit- és ellenőrzési előírások,
- alvállalkozók bevonásának feltételei,
- incidens-bejelentési kötelezettségek,
- az adatfeldolgozás időtartama.
Az adatkezelő köteles csak olyan adatfeldolgozókat igénybe venni, akik megfelelő garanciákat nyújtanak arra, hogy a szükséges technikai és szervezési intézkedéseket végrehajtják, és az adatfeldolgozás megfelel a GDPR-nak.
A garanciák értékelésekor az adatkezelőnek figyelembe kell vennie:
- az adatfeldolgozó szakértelmét (pl. technikai biztonsági ismeretek),
- megbízhatóságát,
- erőforrásait.
Ezek a követelmények védik a szervezetet a hibáktól, incidensektől és esetleges szankcióktól, és biztosítják a személyes adatok professzionális, biztonságos kezelését.
Ne feledje:
- A „megfelelő garanciákat nyújtó” adatfeldolgozók igénybevételére vonatkozó kötelezettség folyamatos — nem ér véget a szerződés aláírásával. Rendszeres felülvizsgálat szükséges, akár audittal is.
- A külső IT-szakembereket nem szabad „kollégáknak” tekinteni – a GDPR szemében különleges biztonsági követelményekkel rendelkező külső szereplők.
Hogyan kell irányítani a külső IT-szakembereket?
A külső IT-szakemberek munkája során szigorú szabályokat kell betartani a rendszerek és a személyes adatok védelme érdekében. A munkatársaknak a következő elveket kell követniük:
- Korlátozza a külső technikusok hozzáférését a szükséges minimumra
Csak olyan jogosultságokat adjon, amelyek az adott beavatkozáshoz szükségesek (legkisebb jogosultság elve). - Minden távoli hozzáférést MFA-val kell biztosítani
A távoli kapcsolatot többfaktoros hitelesítéssel kell védeni. - Minden távoli hozzáférést előzetesen jóvá kell hagyni
Csak az arra jogosult személy (pl. IT-adminisztrátor vagy információbiztonsági vezető) engedélyezheti. - Kövesse nyomon és naplózza az összes hozzáférést
Rögzíteni kell az időpontot, IP-címet, a használt fiókokat és az elvégzett műveleteket. - Minden beavatkozás után jelentést kell kérni
A külső technikusnak tartalmaznia kell:- elvégzett feladatokat,
- hozzáfért rendszereket,
- történt-e személyes adatokhoz való hozzáférés,
- ajánlásokat vagy végrehajtott módosításokat.A jelentést archiválni kell az ellenőrzési dokumentációban.
IOSEC
