Kedves Olvasó!
Ebben a bejegyzésben az email és naptár kezelés problémáját szeretném körbejárni GDPR szempontból.
Kevesen gondolják át, hogy ez a mindennap használt eszköz, a legtöbb szervezet esetén, a legnagyobb, személyes adatokat tartalmazó adatbázis! Évekre, akár tíz-húsz évre visszamenő leveleket, bejegyzéseket is tárolunk! Ennek megfelelő kezelése GDPR szempontból roppant kényes és felelősségteljes feladat!
A Hatóság határozatai között is többször szerepelnek, a hibás email kezeléshez kapcsolódó bírságok! Érdemes ezért ezt a területet alaposabban áttekinteni, hogy mi megfelelünk-e az előírásoknak!
Elsőként nézzük meg, hogy miért is személyes adat a levelezés, és mi lenne a jogszabály szerinti előírás általánosságban.
Jogszabályi szempontok:
A GDPR rendelet szerint személyes adatnak számít minden olyan adat, mely bármilyen módon egy természetes személyhez hozzáköthető. Ez alapján már mindenki jogosan gondolja, hogy a postafiókjában tárolt emailek és naptárbejegyzések személyes adatok. Sőt a névtelen emailek is azok valószínűleg, hiszen a világon biztos, hogy van olyan adatbázis vagy adatbázisok, amik pl ip cím és idő, bejelentkezési log-ok stb segítségével egy természetes személyhez visszavezethető.
A GDPR jogszabály általánosságban az alábbi adatkezelési alapelvek teljesülését írja elő. Vizsgáljuk meg őket egyesével, hogy mi módon teljesülhet ez az email és naptárkezelés vonatkozásában.
- Jogszerűség és tisztességesség és átláthatóság elve: A mi szempontunkból, ez a jogszabályi környezet maradéktalan betartását jelenti. Vizsgáljuk meg, hogy van-e a tevékenységi területünkre vonatkozó speciális jogszabályi előírás, felügyeleti követelmények. Például, ha kiszervezett tevékenységet végzünk egy pénzintézet, biztosító, vagy államigazgatási szereplő számára, van ilyen előírás, hogy milyen módon kell kezelnünk adatainkat. Ezek az adatkezelési előírások természetesen az emailekre is vonatkoznak.
A tisztességesség és átláthatóság elsődleges eszköze pedig az adatkezelési tájékoztató, és az ott leírt folyamatok, kommunikációs csatornák. Részleteztük, hogy mi módon kezeljük emailjeinket, naptárbejegyzésünket? Sokan abba a hibába esnek, hogy azt gondolják, az emailezés során, csak olyan adatot kezelnek, amely valamelyik üzleti folyamatuk adatkezeléséhez kapcsolódik, így az abban szereplő adatkezelési leírások a mérvadóak. Véleményem szerint ez nem így van.
Számos emailt kapunk, amely nem kapcsolható üzleti folyamatainkhoz. Ezért az emailek általános kezelését is tisztázni kell az adatkezelési tájékoztatóban. A jogalap megválasztása is kritikus. Hiszen az emailjeinket nem töröljük időszakonként, legalábbis én nem találkoztam olyan céggel, ahol törölték meghatározott időnként.
Ha rossz a jogalap, az az Érintettek megtévesztéseként értékelheti a hatóság, valamint ilyenkor nem stimmel a törlési idő sem, így már is megsértettük az átláthatóság, tisztességesség, korlátozott tárolhatóság alapelvét. Javaslom, hogy konzultáljon mindenki adatvédelmi szakértővel ebben a témában. Ha valaki rossz jogalapot választ egy adatkezeléséhez, a korábbi hatósági határozatokból következtetve, a pénzbírság, nagy mértékben valószínűsíthető. - Célhoz kötöttség, adattakarékosság, pontosság elve: Az emailekre, naptárbejegyzésekre is vonatkoznak a célhoz kötöttség elve, vagyis, ha valaki egy adott üzleti folyamat érdekében levelezett vele, nem lehet más folyamathoz (adatkezeléshez) a megfelelő jogalap nélkül felhasználni adatait. Így nem tehetjük hírlevél listára, nem adhatjuk ki partnereinknek, nem adhatjuk át ingyenes szolgáltatásokért cserébe, nem hozhatjuk nyilvánosságra mások számára, … stb. Ez csak néhány példa, amit adatvédelmi szakértőként a közelmúltban tapasztaltam.
Az adattakarékosság és pontosság elvénél, mivel általában a másik fél adja meg egy emailben az adatait, viszonylag kevés a dolgunk. Egy olyan terület jut eszembe, ahol erre is oda kell figyelnünk, az pedig a regisztrációk. Ha emailcímet kérek egy regisztráláshoz, érdemes egy visszaellenőrzési folyamatot kiépíteni valamilyen módon. Ez a regisztrált emailcímre egy megerősítő link küldése lehet például. Fontos, hogy más adat ne szerepeljen benne, így nem szivárogtatunk ki semmit, csak az email érvényességét ellenőrizzük. Így el tudjuk kerülni a félregépeléseket, félreértéseket. - Korlátozott tárolhatóság elve: Ez egy kritikus pont szerintem, pont azért, mert az emberek nem törölnek emailt. Ennek megoldása a megfelelő jogalap kiválasztása, és a megfelelő adatkezelési tájékoztató, dokumentáció elkészítése. Ha ezt elmulasztjuk, én úgy gondolom borítékolhatjuk a GDPR jogsértést. Itt javaslom mindenkinek, hogy legalább ennek a pontnak a megoldására vegyen igénybe adatvédelmi szakértői konzultációt.
- Integritás és bizalmasság, vagyis a beépített adatvédelem elve: Az email és naptár kezelésre olyan megoldást keressünk, ami számunkra is ellenőrizhető módon biztosítja a rendszer integritását és biztonságát. Ezek technikai és szervezési kérdések! Bízzuk szakemberre. Írásom végén, ezeket a szükséges technikai és szervezési intézkedéseket fogom ismertetni. Általánosságban el kell kerülni az emailek, és naptárbejegyzések illetéktelen hozzáférését, megismerését, illetéktelen módosítását, elvesztését, megsemmisülését.
- Elszámoltathatóság elve: Ez azt jelenti, hogy a megfelelő GDPR dokumentáció a rendelkezésre álljon, és egy ellenőrzés során bemutatható legyen. Szintén része az Érintettek különböző jogérvényesítéséhez kapcsolódó jegyzőkönyvek és kommunikációk, log-ok, incidens adatbázis és minden olyan írásos anyag, mely szükséges egy szervezet adatkezelésének jogszerűségi bizonyításához.
Remélem már a fentiek átolvasása is érzékelteti, hogy milyen fontos és komplikált az emailek GDPR-nak megfelelő kezelése. A Beszerző Központ Kft. ezért hozta létre a GDPR-nak megfelelő email- naptár- és csoportmunka szolgáltatását, hogy könnyű, kényelmes és megfizethető megoldást nyújtson ügyfeleinek a fenti bonyolult kérdésben.
A továbbiakban ismertetjük tapasztalatainkat a különböző email és naptár megoldásokkal, valamint egy megfelelően kialakított email és naptár rendszer technikai és szervezési szempontjait.
Tapasztalataink más megoldásokkal:
Tapasztalatunk szerint, a legtöbb szervezet roppant hanyag ezen személyes adataik kezelésében. Nézzünk meg, néhány tipikus helyzetet.
Ingyenes email szolgáltatók:
A mikró és kivállalkozások, a személyes adat jellegétől függetlenül előszeretettel használnak ingyenes megoldásokat. Azt közben elfelejtik, hogy a használat megkezdésekor elfogadják a szerződéses feltételeit ezen szolgáltatásoknak, ahol ők meghatalmazzák ezen ingyenes szolgáltatókat a postafiókjukban szereplő adataik elemzésére, profilalkotásra, hirdető partnereikkel történő anonimizált megosztásra.
Az ÁSZF elfogadásával, az ilyen szolgáltatás használója, mint adatkezelő, lesz a jogi felelős egy ellenőrzés során a GDPR sértésért. A GDPR pedig kimondja, hogy a meghatározott céllal gyűjtött személyes adatokat más célra, csak az Érintett beleegyezésével lehet felhasználni. Aki pedig az adott szervezettel levelez, az nem abból a célból teszi, hogy az adatait marketing célból kielemezzék, profilokat építsenek belőle az adott Érintettről, és átadják érdeklődést egy másik szervezetnek.
Webhostinghoz tartozó email kezelő:
Ez már egy „nagy ugrás” az előző megoldáshoz képest, azonban ennek is vannak kockázatai. Elsőként a naptárkezelés hiánya az érdekes. A naptárbejegyzéseket ilyenkor az általam ismert cégek a Google/Apple ingyenes naptárában vezették. Ez hibás hozzáállás! Ugyan úgy kiadom a személyes adatokat ezeknek a nagy felhő szolgáltatóknak, amikor készítek egy naptár bejegyzést, így elkövetem ugyan azt, mint amit az „ingyenes email szolgáltatók” részben írtam le.
Még egy másik akadályt látok, amelyet egy informatikában nem is járatos cég, nem vagyok biztos benne, hogy meg tud ugrani. Nagyon sok cég kínálja webhosting szolgáltatását. Hogy tudom eldönteni, hogy melyik a jó és melyik a nem jó üzemeltető cég? Csak az ő általános szerződéses feltételei (ÁSZF) és adatkezelési dokumentációjuk áttanulmányozását követően! Nem ismerek olyan webhosting ügyfelet, aki ezt komolyabban átolvasta volna! Pedig egy webhosting előfizetésnél, mint előfizető mi, mint előfizetők tartjuk a hátunkat a hatóság felé, akkor is, ha a szolgáltatónk hibázott valamit. Nézzük át részletesen ezeket a dokumentumokat. Hogyan mentenek? Milyen módon lehet visszaállni? Mennyi ideig őrzik meg a mentést? Milyen sűrűn, mikor frissítenek? Milyen SLA időt vállalnak? Milyen alvállalkozó férhet hozzá az adatainkhoz? Milyen kiegészítő költsége van egy-egy igényünknek pl. hosszabb mentés megőrzési idő? Mikor törlik az adatainkat előfizetésünk megszűnését követően?
Azt gondolom, hogy egy profi szakember segítsége nélkül, aki segít pl. egy cpaneles felületű előfizetést értelmezni, szükség esetén beállítani, nagyon nagy kockázatokat futhatunk!
Nemzetközi felhőszolgáltatók email és naptár szolgáltatása:
Itt nem a funkciókkal érzem a problémát, hanem a jogi környezettel és megfelelőséggel.
Úgy gondolom, hogy nem nagyon olvasta senki az adatkezelési tájékoztatójukat és ÁSZF-üket. Milyen alvállalkozó férhet hozzá az adatokhoz? Milyen megőrzési időt vállalnak? Mikor törlik az adatainkat egy előfizetés megszűnést követően? Hol tárolják az adataink? Átkerül az USA-ba? Hozzáférést biztosítanak a különböző megfigyeléseket végző szervezetek számára? Ezekre a kérdésekre vannak homályos megfogalmazások, de egy GDPR megfeleléshez konkrét válaszok szükségesek.
Kevesen gondolnak bele, de az USA-ban jogszabályi előírás alapján kötelezően működik egy minden nem USA állampolgárra kiterjedő adatgyűjtési rendszer! Ha egy ilyen szolgáltatást igénybe veszek ezzel elfogadom, hogy turkálnak az adataimban. Ha még csak bűnüldözési céllal, akkor nem is lenne baj, de úgy tudom, többször is kiderült a múltban, hogy ezeket az adatokat gazdasági célból is felhasználják, megosztják amerikai vállalatokkal, így szereztek tisztességtelen versenyelőnyt.
Az EU bírósága 2020 nyarán megszüntette az USA-EU közötti adatcsere egyezményt. Ez azért érdekes, mert a nagy felhőszolgáltatók idáig erre hivatkozva küldték ki adatainkat az USA-ba, ezen tömeges megfigyelésre, mely számukra USA jogszabályi előírás. Ezt követően átállították a dokumentációjuk hivatkozását az adatcsere egyezményről egy általános szerződéses feltételekre. Ez ezért problémás, mert hiába szerződnek le anyacégükkel bármilyen szigorúan, a GDPR-nak megfelelő garanciákkal, és erre hivatkozva elvileg kiküldhetik az adatokat, de józan paraszti ésszel, ha az USA jogszabálya nem összeegyeztethető az EU GDPR rendeletével, akkor ezt a szerződésben foglalt védelmeket az USA jogszabálya felülírja, érvényteleníti! Ez alapján nem lennének jogszerűek szerintem ezek az adattovábbítások, vagy hozzáférések adatainkhoz. Ezt majd különböző jogvédők perei bebizonyítják, de addig is személyes véleményem szerint, ha tudjuk kerüljük ezeket a szolgáltatókat!
Saját szerveres email és naptár megoldások:
Ez akár jó is lehet, de problémás, hogy meg kell találni, és megfizetni a szakembert, aki megfelelően kiépíti és üzemelteti szerverünket! A megfelelő működéshez folyamatosan képezni kell a szakemberünket és biztosítani a továbbiakban ismertetett „technikai és szervezési intézkedéseket”! Ez drága dolog, mert saját szakértőket, eszközöket kell fenntartanunk.
A Beszerző Központ Kft. a fenti tapasztalatok miatt hozta létre GDPR fókuszú email- naptár- és csoportmunka szolgáltatását, mely szerintünk hiánypótló a magyar piacon!
Célunk, hogy szolgáltatásukkal a fenti problémák mindegyikét megoldjuk! Keressen bizalommal minket, hogy megismerve igényeit a legmegfelelőbb megoldást ajánlhassuk Önnek!
Egy ideális email és naptár szolgáltatás technikai és szervezési intézkedései:
Felsorolás szerűen áttekintem, hogy milyen szempontokra kell figyelni egy GDPR-nak megfelelő email rendszer kiválasztása érdekében.
Autentikáció (bizalmasság elve):
- Fontos a megfelelő hosszúságú és bonyolultságú jelszavak kikényszerítése. A felhasználók oktatása is kritikus, hogy hogyan használják és tárolják jelszavaikat.
- Javasolt a kétfaktoros autentikáció használata, különösen az érzékenyebb adatokat kezelő postafiókok esetén. (pl: szerződések, egészségügyi adatok, fizetési folyamatok)
- Javasolt minden felhasználó számára saját postafiók biztosítása, valamint ha van közös postafiók, akkor a szokásjog szerinti használata helyett legyen egy írásos dokumentáció, hogy ki és hogyan jogosult használni.
Mentés, arhiválás (Integritás elve):
- Olyan mentés legyen a rendszerről, amely kellően gyakori, hogy minél kisebb legyen az adatvesztés egy nem várt esemény során.
- Olyan mentés legyen a rendszerről, hogy kellően hosszú távon vissza lehessen állítani az elveszett adatokat. Gyakran előfordul, hogy hónapok múlva derül ki, hogy hiányzik egy email, ilyenkor is legyen lehetőség a visszaállításra.
- A rendszerből legyen lehetőség archiválni, ha bármilyen ok szükségessé teszi.
Adattárolás helyszíne (Jogszerűség és tisztességesség és átláthatóság elve):
- Fontos, hogy EGT-n belüli vagy az EU által adatvédelmi szempontból elfogadott 3. országban legyenek a személyes adataink. Ha így teszünk számos kényelmetlen dokumentációs kötelezettségtől megkíméljük magunkat.
A kliens eszközök jelszavas és fizikai védelme (bizalmasság elve):
- Védjük eszközeinket és az azon tárolt adatokat. Használjunk boot jelszót és HDD/SSD titkosítást, amely megvédi az adatokat, annak ellopása esetén.
- Használjunk olyan rendszert, mely képes távolról törölni az ellopott eszközről az adatokat.
Emailek titkosításának és hitelesítésének lehetősége (integritás és bizalmasság elve):
- Ha van lehetőségünk, és rendelkezünk titkosító kulccsal, ennek segítségével igazolható, hogy mi küldtük a levelet, és nem lett megváltoztatva. Ennek működéséhez mind két félnek rendelkeznie kell a megfelelő kulcsokkal.
A szerver és kliens környezetek folyamatos naprakészen tartása (integritás és bizalmasság elve):
- Fontos meggyőződni róla, hogy a rendszer a lehető legfrissebb legyen, az ismert sérülékenységek befoltozásra kerüljenek. Tapasztalataink szerint ez szokott a helyi szerver üzemeltetés rákfenéje lenni! Ha nincs frissítés, a nyilvánosságra került programhibákat bármelyik rosszindulatú támadó könnyedén ki tudja használni és megszerezni az adatainkat, pénzünket, vagy az irányítást a rendszerünk fölött.
Megfelelő spam policy és vírus védelem ((integritás elve):
- Fontos a megfelelően finomra hangolt spam és vírus szűrés, amely segít, hogy a kártékony programokat elkerüljük. Ehhez megfelelő üzemeltetési tapasztalat és szakértelem szükséges. Sajnos szolgáltatás előfizetéseként csak saját bőrünkön tudjuk tapasztalni ennek meglétét vagy hiányát.
Események logolása (elszámoltathatóság elve):
- Egy utólagos ellenőrzésnél fontos, hogy ki mikor, mit kapott, mikor, honnan jelentkezett be. Ezeket érdemes megfelelően hosszú időtávon tárolni.
Bízom benne, hogy a fenti információk hasznosak ahhoz, hogy megfelelő email és naptár szolgáltatót válasszunk magunknak, vagy ellenőrizzük, hogy saját szerver üzemeltetésünk megfelel-e a fenti kritériumoknak. A Beszerző Központ Kft csapata, örömmel áll minden érdeklődő rendelkezésére a GDPR-nak megfelelő email és naptár szolgáltatásával.
Remélem segítettem, ezen írás elkészítésével, hogy ezt a fontos témát megvizsgáljuk.
Üdvözlettel,
Földvári György
Adatvédelmi szakértő
Email: info@beszerzokozpont.hu Webcím: www.beszerzokozpont.hu
Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor az adott időpontban, és nem tekinthető jogi állásfoglalásnak!