it és adatvédelem – adatszivárgás, adatlopás elleni jogi védelem … · 2016-04-18 ·...
Post on 24-Feb-2020
2 Views
Preview:
TRANSCRIPT
IT és adatvédelem – Adatszivárgás, adatlopás elleni
jogi védelem Antidotum 2016 Konferencia
2016.04.14.
Adatszivárgás, adatlopás – Egy kis statisztika
a) A dolgozók számítógépén tárolt minden 50. fájl és minden 400. e-mail tartalmaz bizalmas információt
b) A munkaviszony megszűnése után a munkavállalók 25%-ának még van hozzáférése a céges rendszerhez/levelezéshez
c) A távozó munkavállalók 2/3-a saját bevallása szerint felhasználta a munkahelyéről megszerzett bizalmas információkat az új munkahelyén (főként e-mail listát)
d) A munkavállalók 46%-a használ saját mobileszközt úgy a munkahelyén, hogy a munkáltatója nem tud róla, vagy a munkavállalóra az adatbiztonsági belső szabályzat valamiért nem vonatkozik
e) Secunia jelentés: támadásoknak leginkább kitett szoftverek: egy felhasználó számítógépén átlagosan 76 program van telepítve, ennek 10,8%-a nincs frissítve a legutolsó verzióra annak ellenére, hogy a gyártó biztonsági javítást adott ki.
Top 5 lista: Java, Internet Explorer 11, Apple Quick Time, Adobe Reader, VLC Media Player
e) A gyártók által már nem támogatott, de még tömegesen használt szoftverek – újabb biztonsági rés: például Google Chrome 36, Mozilla Firefox 31, Flash Player 14
Adatszivárgás, adatlopás – Hol?
Emberi tényező
1. Munkavállalók
a) HR
b) Pénzügy
c) Vevőszolgálat/recepció
d) IT
e) Egyéb
2. Vevők, ügyfelek
3. Beszállítók, alvállalkozók
IT rendszer
1. Mobileszközök (magán és céges)
2. WIFI, Bluetooth, hálózat
3. E-mail, webmail, instant messenger, egyéb üzenetküldő/levelező rendszerek (magán és céges)
4. Elektronikus adathordozók (USB, pendrive, CD, DVD, stb.)
5. Analóg adathordozó (papír, clipboard)
6. Hálózatos nyomtató
7. Közösségi média
Adatszivárgás, adatlopás – Mit?
1. Személyes adatok (munkavállalók, vevők/ügyfelek, beszállítók)
a) Egyszerű személyes adatok
b) Különleges személyes adatok (pl. egészségügyi)
2. Üzleti titok
a) Ptk. szerinti üzleti titok (pénzügyi adatok, e-mail listák)
b) Know-how
3. Szellemi tulajdon
a) Találmányok
b) Forráskódok, dokumentációk
c) Szakirodalmi, tudományos elemzések
Adatszivárgás, adatlopás – Hogyan?
Adatszivárgás, adatlopás tipikus módjai
1. Jogosultsággal való visszaélés
2. Saját eszköz elvesztése, ellopása
3. E-mail illetéktelen kezekbe jutása
4. Adathordozó elvesztése, ellopása
5. Vevő/ügyfél/beszállító titoksértése
6. Kémprogramok, spamek, külső/belső támadások
7. Belső támadások
Adatszivárgás, adatlopás – megelőzés a jog eszközeivel
Emberi tényezők
Munkavállalók a) Munkaszerződés
b) Belső szabályzat
c) Ellenőrzés
d) Oktatás
Vevők/ügyfelek a) Szerződés/ÁSZF/titoktartás
Beszállítók a) Szerződés/ÁSZF/titoktartás
IT rendszer
a) Adatvédelmi és adatbiztonsági szabályzat
a) Adatvédelmi incidens kezelés
Adatszivárgás, adatlopás – megelőzés a jog eszközeivel
Munkavállalók
1. Biztonsági kockázatelemzés a) Védendő adatok azonosítása
b) Biztonsági fokozat szerinti besorolása
2. Magatartási szabályok meghatározása az adatok védelmére a) Munkaszerződésben
b) Belső szabályzatban – elfogadásra figyelni kell
Adatszivárgás, adatlopás – megelőzés a jog eszközeivel
Munkavállalók
Munkaszerződés vagy kollektív szerződés
- Mt. 8. § (4) a munkavállaló titoktartási kötelezettsége: a) üzleti titok megőrzése,
b) olyan adat megőrzése, amelyet munkaköre betöltésével tudott meg, és annak illetéktelen személlyel való közlése a munkáltatóra vagy másra hátrányos következménnyel járna
- Munkaszerződésbe időben korlátlan, munkaviszony megszűnése utánra is kiterjedő általános titoktartási klauzula beépítése
- Titoktartási kötelezettség megsértése esetére szankciók kikötése
Adatszivárgás, adatlopás - Ellenőrzés, megfigyelés részletszabályai
Munkavállalók – Ellenőrzés, megfigyelés részletes szabályai és korlátai
1. Mt. 9. § - a munkavállalók személyhez fűződő jogai (magántitok, magánlevél, jóhírnév, stb.)
A személyhez fűződő jogok korlátozhatók, feltételei:
- a munkaviszony rendeltetésével közvetlenül összefüggő okból
- feltétlenül szükséges
- cél elérésével arányos
- a korlátozás módjáról, feltételeiről, várható tartamáról a munkavállalót előzetesen tájékoztatta a munkáltató
Adatszivárgás, adatlopás – Ellenőrzés, megfigyelés részletszabályai
Munkavállalók – Ellenőrzés, megfigyelés részletes szabályai és korlátai
2. Mt. 10. § - a munkavállalók adatainak kezelése – feltételei:
- Nem kell a munkavállaló előzetes hozzájárulása az adatkezeléshez
- Nem sértheti a kért adat a személyhez fűződő jogát
- A munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges adat kezelhető csak
- A személyes adatok kezeléséről a munkavállalót előzetesen tájékoztatni kell
- Az adat harmadik személlyel csak a munkavállaló hozzájárulásával közölhető
- Az adat adatfeldolgozó számára munkaviszonyból folyó kötelezettség teljesítése céljából az adat átadható hozzájárulás nélkül is, de előzetes tájékoztatással
Adatszivárgás, adatlopás – Ellenőrzés, megfigyelés részletszabályai
Munkavállalók – Ellenőrzés, megfigyelés részletes szabályai és korlátai
3. Mt. 11. § - az ellenőrzés, megfigyelés korlátai
Pl. kamera, GPS nyomkövető, postai levelek, e-mailek, céges internethasználat, céges gép, telefon ellenőrzése, csomag átvizsgálása
a) Csak a munkaviszonnyal összefüggő magatartása körében
b) A munkaviszony rendeltetésével közvetlenül összefüggő okból, ha az feltétlenül szükséges és a cél elérésével arányos
c) Az ellenőrzés és az annak során használt eszközök nem sérthetik az emberi méltóságot
d) Magánélet nem ellenőrizhető
e) Előzetesen tájékoztatni kell a munkavállalót a technikai eszközök alkalmazásáról, amelyeket használ a munkavállaló ellenőrzésére
Adatszivárgás, adatlopás – Ellenőrzés, megfigyelés részletszabályai
Mt. 11. § - az ellenőrzés, megfigyelés korlátai
f) Ki kell kérni az üzemi tanács véleményét (ha van üzemi tanács) min. 15 nappal a döntés előtt
g) Csak célhoz kötötten ellenőrizhető a munkavállaló:
i) emberi élet, testi épség védelme
ii) személyes szabadság védelme
iii) veszélyes anyagok őrzése
iv) titokvédelem: üzleti-, fizetési, banktitok, értékpapírtitok
v) vagyonvédelem
h) A megszerzett adatokat csak szűk személyi kör nézheti meg
Adatszivárgás, adatlopás – Ellenőrzés, megfigyelés részletszabályai
Tilos:
a) Magánélet ellenőrzése, megfigyelése
b) Magáncélra használható cégautóban vagy céges mobilban GPS nyomkövető állandó használata
c) Céges mobiltelefon lehallgatása
d) Magánnévre címzett, céghez megküldött postai levél felbontása
e) Céges gépről magánjellegű tartalom biztonsági mentése és tárolása (esetenként)
f) Dedikált céges e-mailcímről küldött magánlevél tartalmának ellenőrzése
g) Részletes híváslista céges mobilról (mobilszám személyes adat – NAIH álláspont)
h) Csomag ellenőrzés be- és kilépéskor bűncselekmény, szabálysértés alapos gyanúja nélkül
i) Humán megfigyelés (magánnyomozóval, más munkavállaló jelentése)
j) Poligráf
k) Biometrikus beléptető rendszer, kémprogramok
Adatvédelmi és adatbiztonsági szabályzat
A részletszabályokat belső szabályzatban rögzíti a munkáltató, amelynek követelményei:
a) egyértelmű, érthető, köznapi nyelven, pontosan, részletesen tájékoztat
b) adatkezelés jogalapja
c) ellenőrzés, megfigyelés célja
d) ellenőrzés, megfigyelés módja, használt technikai eszközök
e) adatok tárolásának helye, időtartama
f) adatok megismerésére jogosultak köre, adatok továbbítása
g) adatbiztonsági intézkedések
h) jogérvényesítési lehetőségek
Adatvédelmi és adatbiztonsági szabályzat
Belső szabályzat – információbiztonsági korlátozások
1. Jogosultságok és kezelésük (hozzáférés, jelszó és felhasználónév kezelés, jogosultsági körök és csoportok – csak az férjen hozzá, akinek feltétlenül szükséges és csak ahhoz, amihez feltétlenül szükséges)
2. Dokumentum kezelési rendszerek szabályai – jóváhagyási, kiküldési folyamatok szabályai, hogy a munkáltató átlássa és felügyelhesse a kommunikáció teljes folyamatát
3. Megosztások használatának szabályai
4. Internet-használati beállítások
5. Tűzfal beállítások
6. Titkosítás szabályai és alkalmazásának köre
7. Vállalati eszközök személyes használatának szabályai
8. A vállalatnál történő fotózás tilalma, korlátai
Adatvédelmi és adatbiztonsági szabályzat
9. Szoftvertelepítés szabályai – ki, mit, hogyan, hova, mikor telepíthet?
10. Hardver csatlakoztatás szabályai a vállalati hálózatra - ki, mit, hogyan, hova csatlakoztathat?
11. Információtovábbítás szabályai – ki, mit, hogyan, hova továbbíthat?
12. Felhőalapú szolgáltatások, alkalmazások felhasználásának szabályai – korlátozások, tilalmak, feltételek
13. Vállalati levelezésre használható e-mail címek szabályai, vállalati levelezés szabályai – magáncélra való használat szabályai, korlátai, tilalma, feltételei
14. Vállalati hálózatról elérhető internetes tartalmak szabályai – letiltott, korlátozott tartalmak, honlapok, oldalak, és használatuk feltételei
15.Közösségi média használat szabályai – mit, hogyan, milyen név alatt lehet közölni?
Adatvédelmi és adatbiztonsági szabályzat
16. Munkaviszony megszűnésekor követendő eljárásrend - hozzáférések, jelszavak, felhasználónevek törlése, belépőkártya leadása, informatikai eszközök visszaszolgáltatása, magán eszközökről céges információk törlése, céges eszközről magán információk törlése
17. Munkavállalói kommunikáció, IT rendszer ellenőrzésének részletes szabályai (kamerás és egyéb megfigyelés, ellenőrzési jogkör, tartalom monitorozás, szűrés, földrajzi helyzet meghatározás)
Adatvédelmi és adatbiztonsági szabályzat
Adatbiztonsági rendelkezések – Infotv. 7. § - „Privacy by design”
- Magánszféra védelmének biztosítása
- Adatbiztonság biztosítása (technikai, szervezési intézkedések, eljárási szabályok) a titokvédelem érdekében
- Intézkedések a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, sérülés hozzáférhetetlenné válás ellen;
- Rendszerek helyreállíthatóságának biztosítása
- Jogosulatlan adatbevitel elleni védelem
- Ellenőrizhetőség
- Több lehetséges adatkezelési megoldás közül a magasabb szintű védelmet biztosítót kell alkalmazni
Adatvédelmi és adatbiztonsági szabályzat
A belső szabályzat közlése:
a) Meglévő munkavállalóknak átadva nyomtatva vagy e-mailben megküldve, elektronikusan vagy papír alapon igazolni kell tudni, hogy megkapta (aláírással, átvételi elismervénnyel, stb.)
b) Új munkavállalóknak a munkaszerződéssel együtt átadva és aláíratva, hogy átvette
Adatszivárgás, adatlopás – ha megtörtént a baj - szankcionálás
1. Szankciók a titoksértő munkavállalóval szemben:
a) Felmondás/azonnali hatályú felmondás
- NAIH gyakorlat nincs összhangban a munkaügyi bírósági gyakorlattal
- Bíróság: jogszerű a felmondás az ellenőrzés során felderített kötelezettségszegésért akkor is, ha az ellenőrzéssel ezzel a munkáltató személyhez fűződő jogot vagy adatkezelési jogot sértett, de a munkáltatónak a jogellenes adatkezelésért felelnie kell (külön eljárásban)
b) Kártérítés – jogsértést, kárt munkáltatónak kell bizonyítania
- Maximum 4 havi távolléti díj
- Korlátlan: szándékos vagy súlyosan gondatlan károkozás esetén
Adatszivárgás, adatlopás – ha megtörtént a baj - szankcionálás
2. Üzletfél/Ügyfél vagy Beszállító/Alvállalkozó titoksértési szankciói:
a) Kártérítés: szerződésszegésért való felelősség szabályai szerint
b) Kötbér: ha azt a szerződésben kikötötték titoktartás megszegése esetére
c) Felmondás/azonnali hatályú felmondás: ha a szerződés szerződésszegés esetére adott ilyen jogot
Adatvédelmi incidensek kezelése
Info tv. 3. § 26.
- Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
- Adatvédelmi incidens nyilvántartás (15. § (1)):
a) Tájékoztatás: érintett kérelmére az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről max. 25 napon belül
b) Adatvédelmi incidens nyilvántartás vezetése: az érintett személyes adatok köre, az adatvédelmi incidenssel érintettek köre és száma, az adatvédelmi incidens időpontja, körülményei, hatásai és az elhárítására megtett intézkedések
c) Elutasított kérelmeket évente a NAIH-hoz be kell jelenteni
Az EU új adatvédelmi irányelve – Szép új világ 2018-tól?
a) egységes szabályok az európai unió minden tagállamára, a nemzeti jogszabály helyébe lép
b) one-stop-shop – az egyablakos rendszer: a közösségben működő vállalkozásoknak csak egyetlen adatvédelmi felügyeleti hatósággal kell foglalkozniuk az EU-ban
c) bevezeti a „felejtés jogát”, vagyis azt a jogot, hogy a személyes adatokat véglegesen töröltessék, ha az adatkezelés célja már teljesült
d) bevezeti az „adathordozhatóság jogát”, vagyis megkönnyíti a szolgáltatók közötti adatátvitelt
e) személyes adatok elleni támadás, jogosulatlan hozzáférés esetén (adatvédelmi incidens) az adatkezelő köteles a nemzeti adatvédelmi hatóságot tájékoztatni az incidensről (most csak nyilvántartást kell vezetni)
f) magasabb adatvédelmi bírság: a jogsértő adatkezelő globális éves forgalmának 4%-a, de legfeljebb 1 millió euro (eddig max. 20 millió forint volt)
Köszönöm a figyelmet!
Dr. Horváth Katalin
Ügyvéd – Partner
Sár és Társai Ügyvédi Iroda katalin.horvath@sarandpartners.hu
www.sarandpartners.hu
Webjog. hu
top related