Már többször is írtunk arról az új törvényről munkahelyi facebookozás kapcsán, ami az európai uniós adatvédelmi rendelettel (GDPR) való összhang megteremtése érdekében lépett hatályba április 26-án a módosított Munka Törvénykönyvben. Az új szabályozás szerint a cégek alkalmazottai alapesetben csak munkára használhatják azokat a számítástechnikai eszközöket és rendszereket, amelyeket a munkaadóik rendelkezésükre bocsátanak a feladatok elvégzéséhez, hacsak erről külön nem állapodnak meg másként.
Korábban jogi szakértővel beszélgettünk arról, mit jelent majd ez a gyakorlatban, és milyen változásokat hoz a korábbi helyzethez képest:
Életszerű kérdések azonban még mindig maradtak a személyes adatokkal kapcsolatban, főleg azok törlése kapcsán, ilyen téren ugyanis a GDPR még tovább szigorított. Egyrészt a személyes adatok tárolása minden esetben arra az időtartamra van korlátozva, amíg valamilyen okból elengedhetetlen a meglétük, továbbá az adatkezelőnek köteles tájékoztatást adnia arról, milyen személyes adatokat tárol.
Igaz, hogy a munkahelyi eszköz elsősorban a munkavégzéssel kapcsolatos feladatokra való, de feltételezhető, hogy személyes adatot is tartalmaznak – már a böngészési előzmény alapján is profilt lehet felállítani egy felhasználó vallási, politikai irányultságáról.
Szintén hétköznapi példa, hogy mi van például mi van akkor, ha vásároltunk egy mobilt, majd miután az meghibásodott, a szolgáltató kicseréli nekünk, de érzékeny adatok maradtak rajta? Mi történik, ha felmondunk a munkahelyünkön, és a visszaadott gépen feltételezhetően vannak személyes adatok is?
Az adattörlési szoftvereket gyártó Blancco termékeit Magyarországon forgalmazó V-Detect Antivírus Kft. kikérte a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalását a fenti kérdésekkel kapcsolatban, amit az L-Tender Consulting szakembere segített értelmezni nekünk egy sajtóbeszélgetésen.
Huncut képek maradtak a gépen, most mi lesz?
Mint elhangzott: az átlagfelhasználót túlságosan nem érdekli az adatai védelme, csak akkor, ha már megtörtént a baj, mondjuk erotikus fotók, videók szivárogtak ki róla. A kompromittáló felvételek akár karriereket tehetnek tönkre. A felejtés joga a neten nem működik: ami felkerült az internetre, az ott marad. De ugyanígy a használt eszközeinken is ott maradnak használható adatok.
A KPMG International 2010-es jelentése szerint az incidensek 10%-át okozzák a nem megfelelően eltávolított IT eszközökön maradt adatok. A saját vagy mások hírnevének rontása mellett az adott cégnek jelentős büntetéssel is szembe kell néznie, amit ez egyre szigorodó adatvédelmi szabályok miatt kell kifizetnie.
Az informatikai eszközöket kezelő vállalkozások (így például mobiltelefonok forgalmazásával foglalkozó szervezetek, használt GSM boltok), illetve számítógépek javításával és kereskedelmével foglalkozó vállalkozások alapvetően kétféle módon juthatnak személyes adatokhoz az eszközeink által: garanciális ügyintézés, valamint felvásárlás során. Az adatok pedig nem csak azért maradhatnak rajta a kütyün, mert a tulajdonos nem volt elég körültekintő, hanem mert például nem is lehetséges őket törölni a készülék hibája miatt (például eltört a képernyő, nem kapcsol be a mobil.)
De tipikus forgatókönyv, hogy a cégnél használt eszközöket leselejtezik, továbbadják más munkatársaknak, vagy a dolgozó mond fel és visszaadja a gépet. A cégek esetében az is gyakori, hogy az új alkalmazott a régebbi, cégtől már eltávozott kolléga készülékét kapja használatra. Ez az átadás viszont biztonsági kockázattal jár, ha nem megfelelően készítjük elő a készüléket, vagyis nem megfelelően töröljük az adatokat. Például a marketingosztályon használt mobil a beszerzési osztályon dolgozó kollégához kerülhet, így hozzáférhet az ügyféladatokhoz.
Továbbá egy általunk használt eszközökön, legyen az céges mobil, vagy laptop tartalmazhatja a családtagok, ismerősök nevét és telefonszámát, jelszavainkat is, a mindennapok során használt céges mobilokkal pedig feltételezhetően fotókat is készítünk.
A V-Detect Antivírus Kft. által kikért állásfoglalásában az NAIH azt a tájékoztatást adta, hogy az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelőnek pedig kötelessége ennek eleget tenni. Ez igaz a munkahelyi eszközökre, és az informatikai eszközöket kezelő vállalkozásokra (így mobil operátorokra, használt GSM boltokra) is.
Mi számít törlésnek?
A V-Detect arról is érdeklődött továbbá, hogy elég-e az egyszerű formázás, illetve az internetről ingyen tölthető szoftverek használata. Az adattörlés fogalma a NAIH szerint:
Az adat felismerhetetlenné tétele olyan módon, hogy a helyreállítása többé nem lehetséges.
Így nem elegendő a merevlemezek egyszerű formázása, de az olyan ingyenes szoftverek, mint a DBAN, vagy más „HDD wipe” jellegű szoftver megfelelhetnek a célra. Ahogy a Blancco is írja honlapján: a biztonságos adattörlés sok esetben nem egyenlő a gyári állapot visszaállításával, szoftveres megoldással lehet tanúsítottan tökéletes adattörlést megvalósítani.
Ahogy a NAIH állásfoglalásában is felhívja rá a figyelmet: az adathordozók szakszerű megsemmisítésével többen foglalkoznak a piaci szektorban. A szakszerűség garantálása szempontjából fontos lehet, hogy a cég a folyamat végén ki tudjon állítani egy hivatalos megsemmisítési jegyzőkönyvet.
A vállalatok az elbocsátott munkatárs személyes adatait is kötelesek védeni. Így ha a munkatárs a mobiltelefonnal személyes fotókat készített, majd ezek a fotók a flottakezelőtől vagy egy GSM-szervizből kikerülnek egy bulvármagazinhoz, akkor a korábbi munkatárs kártérítési igénnyel léphet fel a vállalattal szemben.
Az adatkezelőnek kötelezettsége a személyes adatok törlésének bizonyítása, amit célszerű írásban, bizonyító erővel dokumentálni, és olyan azonosítókat is fel kell tüntetni, amelyek egyértelművé teszik az adathordozó beazonosítását (pl. IMEI-szám, sorozatszám), illetve hogy mi a törlésre használt metódus. Többek közt erre is képesek a Blancco mobildiagnosztikai és biztonsági adattörlési szoftverei, amelyekkel évente több millió merevlemezt, mobiltelefont, memóriakártyát és más adathordozót törölnek, erről részletes és hamisítás ellen védett jegyzőkönyv kerül kiállításra.
(Kiemelt kép: iStock)
