Több mint egy éve vált alkalmazandóvá az EU 679/2018. számú rendelete, az Európai Unió Általános Adatvédelmi Rendelete, a GDPR („Rendelet”), amely az európai adatvédelmi irányelvet (95/46/EK) és az Infotörvényt (2011. évi CXII. törvény) megelőző jogi helyzethez képest nagyobb felelősséget, illetőleg kötelezettségeket állapított meg az adatfeldolgozók részére.
A Rendelet 4. cikk 8. pontja értelmében „adatfeldolgozó” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. A Rendelet 29. cikke értelmében az adatfeldolgozó a személyes adatokat csak az adatkezelő utasításának megfelelően kezelheti, ezért nem minősül harmadik személynek, hanem az adatkezelés belső körébe tartozó személy, akinek tevékenysége az adatkezelőnek betudható és a személyes adatok adatkezelésére való átadásához ezért nincs szükség külön jogalapra. A Rendelet adatfeldolgozó kötelezettségeivel kapcsolatos központi rendelkezése a GDPR 28. cikke, amely az adatkezelő kötelezettségévé teszi annak vizsgálatát, hogy a személyes adatok kezelését olyan személyre bízza rá, amely megfelelő garanciákat nyújt az adatkezelés Rendelet követelményeinek való megfelelésére és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására. Ennek szabályozási indoka, hogy nem csökkenhet az érintettek magas védelmi szintje azáltal, hogy az adatkezelő a döntése alapján más személyhez szervezi ki az adatkezelést.
A Rendelet 28. cikk (3) bekezdés h) pontja kötelezővé teszi egyrészről az adatfeldolgozók megfelelő ellenőrzését (pl. due diligence elvégzését) a szerződés megkötését megelőzően, illetőleg szükségessé teszi olyan intézkedések alkalmazását, amelyek a szerződéses jogviszony folyamatos felügyeletét biztosítja, melynek része az audit jog, amely nem csupán jogosultságként, de a Rendelet szabályozásából adódóan kötelezettségként jelenik meg az adatkezelő oldalán.
A GDPR mindazonáltal semmilyen részletes szabályozást nem tartalmaz sem az audit jog tartalmára, sem annak gyakorlására vonatkozóan. Az európai adatvédelmi joggyakorlat sem ad egységes iránymutatást e tekintetben, annak ellenére, hogy az adatkezelővel szemben fennálló elszámoltathatóság elvéből fakadóan e tevékenység is része az adatvédelmi compliance menedzsment tevékenységeknek.
Miért szükséges az adatfeldolgozók auditálása?
A jelenleg hatályos adatvédelmi jogszabályi előírások mellett az általános működési, adatvédelmi kockázatkezelési tevékenységek része kell, hogy legyen az adatkezelő szervezet külső partnereinek kockázatalapú, rendszeres auditálása. Az évről-évre megjelenő különböző információbiztonsági és adatvédelmi incidens riportok az évtized elejétől kezdődően trendként mutatják be, hogy a bekövetkezett adatvesztéssel járó események egyre nagyobb része a beszállítói (adatfeldolgozói) láncon keresztül történik. Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) által évente kiadott kiberbiztonsági fenyegetettség jelentés kiemeli, hogy az „insider threat” közvetve vagy közvetlenül a beszállítói láncot érintő támadásokban manifesztálódhat (“Threat actors, especially advanced ones, are making progress in using the supply chain to achieve their objectives. In 2018, a hardware attack has made headlines and led to controversial discussions. Despite this single incident, numerous supply chain attacks are assumed to take place, mainly launched by high capability agents. Assessments hereto have led to the conclusion that supply chain attacks are to be considered as a “key threat”.” – 118. oldal, ENISA Threat Landscape Report 2018).
Az adatfeldolgozói lánc biztosításának és a belső aktorokkal szembeni védekezésnek a kiemelt fontosságát az adja, hogy a Verizon 2019-ben közzétett Data Breach Investigations Report-ja szerint az adatvesztéssel járó [adatvédelmi] incidensek közel kétharmada a [adatkezelő] szervezeten kívüli külső okok, míg közel egyharmada belső szereplők miatt következett be, amellett, hogy az incidensek 56%-ban a bekövetkezés és az [adatkezelői] észlelés között több, mint egy hónap telt el.
Ennek gyakorlati folyománya, hogy lényegében az adatfeldolgozói láncon keresztül bekövetkező adatvédelmi incidens megtörténte csak idő kérdése; nagyon nem mindegy azonban, hogy ez az adatvédelmi incidens milyen hatással és következményekkel jár. Az audit jog gyakorlása ugyanis szintén kockázatkezelési tevékenység az adatkezelő részéről, amellyel az üzleti célok és érdekek megvédhetők.
Mit kell auditálni?
Az európai adatvédelmi gyakorlati útmutatásai hiányában az egyes nyugat-európai adatvédelmi felügyeleti hatóságok kialakították maguknak a sajátos – jellemzően nemzetközi szabványokhoz, nemzetközi legjobb gyakorlathoz igazodó – audit módszertanukat. Így például a francia adatvédelmi hatóság, a CNIL (Commission Nationale de l’Informatique et des Libertés) auditjai jogi és technikai vizsgálatokat különböztetnek meg, amelyek összessége szükséges a sikeres audithoz. Az angol adatvédelmi hatóság, az ICO (Information Commissioner’s Office) iránymutatása a klasszikus audit gyakorlatot követi és az alábbi főbb tevékenységeket fedi le: (i) audit tervezés és kockázatelemzés; (ii) audit scope meghatározása; (iii) audit evidenciák gyűjtése és értékelése; (iv) audit jelentés elkészítése és véglegesítése; (v) követő auditok és monitoring.
A megközelítéseket vegyítve tehát az adatkezelőnek elsősorban rendelkeznie kell egy olyan audit folyamattal és módszertannal, amely alapján kockázati alapon értékelni tudja az adatfeldolgozóit és a magasabb kockázatú adatkezelést végzőket pl. évente, a közepes kockázatú adatfeldolgozókat két évente az ennél alacsonyabb kockázatúakat pedig pl. három évente auditálja.
A hatályos magyar pénzintézeti szabályozás ennél viszont mélyebb kötelezettséget definiál, mert a Hpt. 68. § (6) bekezdésére figyelemmel a hitelintézet belső ellenőrzésének a kiszervezett tevékenység szerződésben foglaltaknak megfelelő végzését legalább évente meg kell vizsgálnia.
Az audit során nem elegendő csak és kizárólag az adatfeldolgozói szerződésnek való megfelelés vizsgálata. Az audit hatókörébe célszerű az adatfeldolgozó adatvédelmi és/vagy információ biztonsági menedzsment rendszerét is bevonni az adatfeldolgozói szerződés teljesítéséhez szükséges mértékben az adatfeldolgozói kötelezettségek, a belső munkautasításokat és dokumentumokat, adatfeldolgozói szolgáltatási szinteket, valamint az adatkezelőt érintő teljes adatkezelési folyamat vizsgálata mellett. Az audit hatókör meghatározásában az adatfeldolgozói szerződéssel kell összhangban eljárni és emiatt az adatfeldolgozó által teljesítendő szervezési és technikai követelményeket már eleve olyan nemzetközi szabványhoz (pl. a már hivatkozott ISO/IEC 27000 szabványcsalád) célszerű igazítani, amely lehetővé teszi a későbbi auditálhatóságot.
A GDPR 32. cikk (1) bekezdés d) pontja szerint az adatkezelőnek rendelkeznie kell az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárással. Ez az adatfeldolgozói auditok esetében azt is jelenti, hogy az egyes kontrollok megléte mellett szükséges ezen kontrollok hatékonyságát is mérni (a kontroll hatékonysága alatt azt értjük, hogy a kontroll milyen eredményesen képes ellátni a tervezett funkcióját és kezelni a kapcsolódó kockázatokat). A kontroll hatékonyság méréséhez szükséges tesztlépések (azaz pl., hogy rendelkezik-e az adatfeldolgozó belső adatvédelmi szabályzattal, milyen gyakorisággal frissítik, van-e kötelező oktatás azzal kapcsolatban; vagy pl. egy informatikai rendszerben a ténylegesen beállított jogosultságok és a nyilvántartott jogosultságok összevetése, annak megállapítására, hogy a volt munkavállalók hozzáférési jogosultságait visszavonták-e, és ezt időben tették-e) és az egyes audit evidenciák leírása (pl. jogosultság nyilvántartás, rendszer beállítások konfigurációja, további adatfeldolgozói szerződések) szintén az audit módszertan részét kell, hogy képezze. Szintén az audit részét kell képeznie az egyes, profilalkotásra vagy automatikus döntéshozatalra szolgáló adatfeldolgozói logikai algoritmusok tesztelése és auditálása is; azaz vizsgálni kell, hogy az algoritmus milyen arányban ad false positive vagy false negative eredményeket, milyen hatékonysággal ad konzisztens, az adatkezelés céljával egyező eredményt, amelyért az adatkezelő felelősséggel tartozik.
A jogszabály nem írja, de az adatfeldolgozói auditot lefolytatóknak rendelkezniük kell a szükséges előképzettséggel és tapasztalattal. Mivel maga az audit is egy adatvédelmi jogi és adatvédelmi technikai, informatikai audit, ezért szükségszerű, hogy ilyen területen jártas szakemberek végezzék el. A CNIL és az ICO útmutatásaiban pl. közös, hogy mindkettő az ISO/IEC 27000 információ biztonsági szabványcsaládot veszi alapul és az audit technikai lefolytatását ISO 27001 Lead Auditor-i minősítéshez köti (megjegyzendő, hogy az auditok technikai részéhez valószínűleg más, általánosan elismert információbiztonsági minősítések, mint pl. CISA, CISM minősítések is megfelelőek lehetnek, míg a jogi audit elvégzését célszerű CIPP/E minősítéssel rendelkező személynek végeznie). Magyarországon a pénzintézeti szektorban, illetve az állami és önkormányzati szervek információbiztonságával kapcsolatban elsősorban az amerikai NIST (National Institute of Standards and Technology) módszertanához közelálló módszertan honosodott meg. Jó gyakorlatnak számít, hogy ha az audit módszertan is ennek megfelelően nemzetközileg ismert és használt szabvány által meghatározott kontroll követelményeket vizsgál.
Az informatika fejlődésével bizonyos szolgáltatások gyakorlatilag közműként kezdtek el viselkedni. Gyakori, hogy az adatkezelő valamilyen felhő szolgáltatást vesz igénybe az adatkezeléséhez. A felhő szolgáltató gyakran további adatfeldolgozóként jelenik meg az adatkezelési struktúrában, ezért különösen fontos, hogy már a fő adatfeldolgozói szerződés is megfelelően definiálja azokat a szervezési és technikai intézkedéseket, amelyeket a felhőszolgáltatás jellege és specialitása indokol (ilyen lehet például az általános jelleggel a felhőbiztonsággal kapcsolatos ISO/IEC 27017 és adatvédelmi szempontból speciális ISO/IEC 27018 szabvány előírásai). Magyarországon a pénzintézeti szektorban az MNB 4/2019 (IV.1.) számú ajánlása más logikát követve mutatja be a kiszervezéssel (lényegében az adatfeldolgozói szerződés tartalmának meghatározásával) kapcsolatos teendőket. Az MNB ajánlás fordított logika mentén a bizonyosságszerzés kifejezést használja azzal kapcsolatban, hogy a pénzintézet milyen formában győződik meg felhőszolgáltató kockázatcsökkentő intézkedéseinek megvalósulásáról. A bizonyosságszerzés pedig rendre csak az adatfeldolgozói auditok végrehajtásával szerezhető.
Jellemzően a nagyobb, globális adatfeldolgozók, mint szolgáltatók további adatfeldolgozóként eljárva korlátozott auditálhatóságot engednek meg. Megoldásként a harmadik, független auditor felek által kiállított, évente felülvizsgált (pl. SOC 2 Type II) jelentéseket adnak közre. Ez azonban önmagában nem jelenti az adatfeldolgozói audit végrehajtását. Egyetértünk az MNB álláspontjával, hogy egy ilyen jelentés megléte kockázatcsökkentő tényezőként kezelendő, de emiatt a többi, adatfeldolgozói audit lépés sem mellőzhető ezen szolgáltatókkal szemben. Hasonlóan, az adatfeldolgozói szolgáltatási szintek (SLA – Service Level Agreements) rendszeres monitorozása hozzátartozik a jó vállalatvezetési gyakorlathoz, de nem helyettesíti az adatfeldolgozói auditokat.
Az audit jog terjedelme és az adatfeldolgozói szerződés
Az eredményes adatfeldolgozói audithoz az adatfeldolgozói szerződésben szükséges és kötelező az audit jog kikötése. A fentebb kifejtettekre figyelemmel az audit jognak és az adatfeldolgozói szerződésnek a helyszíni vizsgálatok mellett javasolt kiterjednie az alábbiakra is:
• adatkezelő rendszerekhez való logikai és fizikai hozzáférés;
• adatfeldolgozó szabályzatai, belső dokumentumai;
• az adatkezelőre vonatkozó adatkezelési munkautasítások;
• további adatfeldolgozókra vonatkozó kötelezettségek, szerződések és utasításokhoz való hozzáférés;
• alkalmazott profilalkotási és/vagy automatikus döntéshozatali algoritmusok lényegi és technikai leírásához, dokumentációjához való hozzáférés (az üzleti titok jellege miatt korlátozottan)
• az audit jog gyakorlásának külön ellenérték nélkülisége (A bajor adatvédelmi biztos álláspontja, hogy az audit jog gyakorlása nem köthető külön ellenérték megfizetéséhez);
• audit follow-up a korábban kockázatosnak minősített terelteteken, kontrollokkal kapcsolatban.
Az adatfeldolgozói szerződésben célszerű a fentiek mellett a jogszabályi előíráson túlmenően figyelemmel lenni és szerződéses úton rendezni továbbá
• adatvédelmi incidensekkel kapcsolatos eljárásokat, beleértve az értesítendő kapcsolattartókat, eszkalációs és döntési szinteket;
• adatvédelmi incidenskezelési forgatókönyvek kidolgozása, implementálása és azok rendszeres tesztelése;
• az audit report véglegesítése, az egyes audit megállapításokhoz kapcsolódó kockázati szintek közös értelmezése és jóváhagyásának a rendje;
• a feltárt audit hiányosságok és a kapcsolódó határidők kezelése; a hiányzó vagy nem megfelelő kontrollok javításának kapcsolódó költségei, annak viselésének módja és rendje;
• objektív és mérhető adatfeldolgozói szolgáltatási szintek (Service Level Agreements) meghatározása; szolgáltatási szint eszkalálási és vitarendezési folyamatok szerződéses rendezése;
• változások kezelése az adatkezelési folyamatban; új adatkezelési eszközök bevezetése és alkalmazása;
• kockázatarányos módon az elvárt adatvédelmi minősítések, tanúsítások megszerzése és fenntartása;
• az adatkezelést érintő vis maior esetek definiálása;
• kockázatarányos módon belső vizsgálat kezdeményezése és lefolytatásának kötelezettsége feltárt hiányosság, visszaélés vagy adatvédelmi incidens esetén;
• nemzetközi adattovábbítási kérdések és további adatfeldolgozók ellenőrizhetősége;
• audit végzésével kapcsolatos együttműködési kötelezettségek előírása és az audit akadályozásával kapcsolatos szankciók rendezése.
Összegzés
Az Európai Unió Általános Adatvédelmi Rendelete a személyes adatok kezelésével kapcsolatos kiszervezésekkel kapcsolatosan új kötelezettségeket rögzít, mivel az adatkezelőtől megköveteli annak előzetes felmérését, hogy a kiszervezés milyen előnyökkel és hátrányokkal járhat, milyen kockázatokat hordoz, annak melyek a jogszabályi feltételei, milyen követelményeket szükséges támasztani a szolgáltatóval szemben, és kiszervezés megszűnése esetén mi legyen a szerződésből való kilépési stratégia. Az elszámoltathatóság elvéből adótóan a magasabb kockázat a szolgáltatói kapcsolat ellenőrzésének szofisztikáltabb eszközeit és komolyabb kontrollokat igényel, melynek része a szolgáltatói kapcsolat rendszeres figyelemmel kísérése, többek között a helyszíni audit igénybevételével. Az audit jog ebből a szempontból nem csupán jog, hanem az adatkezelő kötelezettsége, melyet olyan rendszerességgel szükséges gyakorolni, ami a kiszervezés által hordozott kockázatokkal összhangban áll. Mivel az audit jog gyakorlását és módszertanát jogszabály nem szabályozza, ezzel kapcsolatosan komolyabb szerep jut a szakmai útmutatásoknak, vállalati jó gyakorlatoknak és tanúsításoknak, amelyek alkalmasak arra, hogy az adatkezelő a Rendelet szerinti elszámoltathatósági kötelezettségének eleget tegyen. Amennyiben ugyanis egy adatkezelőről megállapítható, hogy nem rendelt megfelelő erőforrásokat az audit jog gyakorlására, az audit jogot nem gyakorolta és ez az intézkedés az érintettek jogainak védelmét megfelelően biztosítani tudta volna, ez olyan körülménynek minősül, amely egy esetleges bírságkiszabás során az adatkezelő terhére fog esni.