it és adatvédelem – adatszivárgás, adatlopás elleni jogi védelem … · 2016-04-18 ·...

IT és adatvédelem – Adatszivárgás, adatlopás elleni

jogi védelem Antidotum 2016 Konferencia

2016.04.14.

Releváns jogszabályok

Infotörvény (2011. évi CXII. tv.)

Munka törvénykönyve (2012. évi I. tv.)

Adatszivárgás, adatlopás – Egy kis statisztika

a) A dolgozók számítógépén tárolt minden 50. fájl és minden 400. e-mail tartalmaz bizalmas információt

b) A munkaviszony megszűnése után a munkavállalók 25%-ának még van hozzáférése a céges rendszerhez/levelezéshez

c) A távozó munkavállalók 2/3-a saját bevallása szerint felhasználta a munkahelyéről megszerzett bizalmas információkat az új munkahelyén (főként e-mail listát)

d) A munkavállalók 46%-a használ saját mobileszközt úgy a munkahelyén, hogy a munkáltatója nem tud róla, vagy a munkavállalóra az adatbiztonsági belső szabályzat valamiért nem vonatkozik

e) Secunia jelentés: támadásoknak leginkább kitett szoftverek: egy felhasználó számítógépén átlagosan 76 program van telepítve, ennek 10,8%-a nincs frissítve a legutolsó verzióra annak ellenére, hogy a gyártó biztonsági javítást adott ki.

Top 5 lista: Java, Internet Explorer 11, Apple Quick Time, Adobe Reader, VLC Media Player

e) A gyártók által már nem támogatott, de még tömegesen használt szoftverek – újabb biztonsági rés: például Google Chrome 36, Mozilla Firefox 31, Flash Player 14

Adatszivárgás, adatlopás – Hol?

Emberi tényező

1. Munkavállalók

a) HR

b) Pénzügy

c) Vevőszolgálat/recepció

d) IT

e) Egyéb

2. Vevők, ügyfelek

3. Beszállítók, alvállalkozók

IT rendszer

1. Mobileszközök (magán és céges)

2. WIFI, Bluetooth, hálózat

3. E-mail, webmail, instant messenger, egyéb üzenetküldő/levelező rendszerek (magán és céges)

4. Elektronikus adathordozók (USB, pendrive, CD, DVD, stb.)

5. Analóg adathordozó (papír, clipboard)

6. Hálózatos nyomtató

7. Közösségi média

Adatszivárgás, adatlopás – Mit?

1. Személyes adatok (munkavállalók, vevők/ügyfelek, beszállítók)

a) Egyszerű személyes adatok

b) Különleges személyes adatok (pl. egészségügyi)

2. Üzleti titok

a) Ptk. szerinti üzleti titok (pénzügyi adatok, e-mail listák)

b) Know-how

3. Szellemi tulajdon

a) Találmányok

b) Forráskódok, dokumentációk

c) Szakirodalmi, tudományos elemzések

Adatszivárgás, adatlopás – Hogyan?

Adatszivárgás, adatlopás tipikus módjai

1. Jogosultsággal való visszaélés

2. Saját eszköz elvesztése, ellopása

3. E-mail illetéktelen kezekbe jutása

4. Adathordozó elvesztése, ellopása

5. Vevő/ügyfél/beszállító titoksértése

6. Kémprogramok, spamek, külső/belső támadások

7. Belső támadások

Adatszivárgás, adatlopás – megelőzés a jog eszközeivel

Emberi tényezők

Munkavállalók a) Munkaszerződés

b) Belső szabályzat

c) Ellenőrzés

d) Oktatás

Vevők/ügyfelek a) Szerződés/ÁSZF/titoktartás

Beszállítók a) Szerződés/ÁSZF/titoktartás

IT rendszer

a) Adatvédelmi és adatbiztonsági szabályzat

a) Adatvédelmi incidens kezelés


Munkavállalók

1. Biztonsági kockázatelemzés a) Védendő adatok azonosítása

b) Biztonsági fokozat szerinti besorolása

2. Magatartási szabályok meghatározása az adatok védelmére a) Munkaszerződésben

b) Belső szabályzatban – elfogadásra figyelni kell


Munkavállalók

Munkaszerződés vagy kollektív szerződés

- Mt. 8. § (4) a munkavállaló titoktartási kötelezettsége: a) üzleti titok megőrzése,

b) olyan adat megőrzése, amelyet munkaköre betöltésével tudott meg, és annak illetéktelen személlyel való közlése a munkáltatóra vagy másra hátrányos következménnyel járna

- Munkaszerződésbe időben korlátlan, munkaviszony megszűnése utánra is kiterjedő általános titoktartási klauzula beépítése

- Titoktartási kötelezettség megsértése esetére szankciók kikötése

Adatszivárgás, adatlopás - Ellenőrzés, megfigyelés részletszabályai

Munkavállalók – Ellenőrzés, megfigyelés részletes szabályai és korlátai

1. Mt. 9. § - a munkavállalók személyhez fűződő jogai (magántitok, magánlevél, jóhírnév, stb.)

A személyhez fűződő jogok korlátozhatók, feltételei:

- a munkaviszony rendeltetésével közvetlenül összefüggő okból

- feltétlenül szükséges

- cél elérésével arányos

- a korlátozás módjáról, feltételeiről, várható tartamáról a munkavállalót előzetesen tájékoztatta a munkáltató

Adatszivárgás, adatlopás – Ellenőrzés, megfigyelés részletszabályai


2. Mt. 10. § - a munkavállalók adatainak kezelése – feltételei:

- Nem kell a munkavállaló előzetes hozzájárulása az adatkezeléshez

- Nem sértheti a kért adat a személyhez fűződő jogát

- A munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges adat kezelhető csak

- A személyes adatok kezeléséről a munkavállalót előzetesen tájékoztatni kell

- Az adat harmadik személlyel csak a munkavállaló hozzájárulásával közölhető

- Az adat adatfeldolgozó számára munkaviszonyból folyó kötelezettség teljesítése céljából az adat átadható hozzájárulás nélkül is, de előzetes tájékoztatással



3. Mt. 11. § - az ellenőrzés, megfigyelés korlátai

Pl. kamera, GPS nyomkövető, postai levelek, e-mailek, céges internethasználat, céges gép, telefon ellenőrzése, csomag átvizsgálása

a) Csak a munkaviszonnyal összefüggő magatartása körében

b) A munkaviszony rendeltetésével közvetlenül összefüggő okból, ha az feltétlenül szükséges és a cél elérésével arányos

c) Az ellenőrzés és az annak során használt eszközök nem sérthetik az emberi méltóságot

d) Magánélet nem ellenőrizhető

e) Előzetesen tájékoztatni kell a munkavállalót a technikai eszközök alkalmazásáról, amelyeket használ a munkavállaló ellenőrzésére


Mt. 11. § - az ellenőrzés, megfigyelés korlátai

f) Ki kell kérni az üzemi tanács véleményét (ha van üzemi tanács) min. 15 nappal a döntés előtt

g) Csak célhoz kötötten ellenőrizhető a munkavállaló:

i) emberi élet, testi épség védelme

ii) személyes szabadság védelme

iii) veszélyes anyagok őrzése

iv) titokvédelem: üzleti-, fizetési, banktitok, értékpapírtitok

v) vagyonvédelem

h) A megszerzett adatokat csak szűk személyi kör nézheti meg


Tilos:

a) Magánélet ellenőrzése, megfigyelése

b) Magáncélra használható cégautóban vagy céges mobilban GPS nyomkövető állandó használata

c) Céges mobiltelefon lehallgatása

d) Magánnévre címzett, céghez megküldött postai levél felbontása

e) Céges gépről magánjellegű tartalom biztonsági mentése és tárolása (esetenként)

f) Dedikált céges e-mailcímről küldött magánlevél tartalmának ellenőrzése

g) Részletes híváslista céges mobilról (mobilszám személyes adat – NAIH álláspont)

h) Csomag ellenőrzés be- és kilépéskor bűncselekmény, szabálysértés alapos gyanúja nélkül

i) Humán megfigyelés (magánnyomozóval, más munkavállaló jelentése)

j) Poligráf

k) Biometrikus beléptető rendszer, kémprogramok

Adatvédelmi és adatbiztonsági szabályzat

A részletszabályokat belső szabályzatban rögzíti a munkáltató, amelynek követelményei:

a) egyértelmű, érthető, köznapi nyelven, pontosan, részletesen tájékoztat

b) adatkezelés jogalapja

c) ellenőrzés, megfigyelés célja

d) ellenőrzés, megfigyelés módja, használt technikai eszközök

e) adatok tárolásának helye, időtartama

f) adatok megismerésére jogosultak köre, adatok továbbítása

g) adatbiztonsági intézkedések

h) jogérvényesítési lehetőségek


Belső szabályzat – információbiztonsági korlátozások

1. Jogosultságok és kezelésük (hozzáférés, jelszó és felhasználónév kezelés, jogosultsági körök és csoportok – csak az férjen hozzá, akinek feltétlenül szükséges és csak ahhoz, amihez feltétlenül szükséges)

2. Dokumentum kezelési rendszerek szabályai – jóváhagyási, kiküldési folyamatok szabályai, hogy a munkáltató átlássa és felügyelhesse a kommunikáció teljes folyamatát

3. Megosztások használatának szabályai

4. Internet-használati beállítások

5. Tűzfal beállítások

6. Titkosítás szabályai és alkalmazásának köre

7. Vállalati eszközök személyes használatának szabályai

8. A vállalatnál történő fotózás tilalma, korlátai


9. Szoftvertelepítés szabályai – ki, mit, hogyan, hova, mikor telepíthet?

10. Hardver csatlakoztatás szabályai a vállalati hálózatra - ki, mit, hogyan, hova csatlakoztathat?

11. Információtovábbítás szabályai – ki, mit, hogyan, hova továbbíthat?

12. Felhőalapú szolgáltatások, alkalmazások felhasználásának szabályai – korlátozások, tilalmak, feltételek

13. Vállalati levelezésre használható e-mail címek szabályai, vállalati levelezés szabályai – magáncélra való használat szabályai, korlátai, tilalma, feltételei

14. Vállalati hálózatról elérhető internetes tartalmak szabályai – letiltott, korlátozott tartalmak, honlapok, oldalak, és használatuk feltételei

15.Közösségi média használat szabályai – mit, hogyan, milyen név alatt lehet közölni?


16. Munkaviszony megszűnésekor követendő eljárásrend - hozzáférések, jelszavak, felhasználónevek törlése, belépőkártya leadása, informatikai eszközök visszaszolgáltatása, magán eszközökről céges információk törlése, céges eszközről magán információk törlése

17. Munkavállalói kommunikáció, IT rendszer ellenőrzésének részletes szabályai (kamerás és egyéb megfigyelés, ellenőrzési jogkör, tartalom monitorozás, szűrés, földrajzi helyzet meghatározás)


Adatbiztonsági rendelkezések – Infotv. 7. § - „Privacy by design”

- Magánszféra védelmének biztosítása

- Adatbiztonság biztosítása (technikai, szervezési intézkedések, eljárási szabályok) a titokvédelem érdekében

- Intézkedések a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, sérülés hozzáférhetetlenné válás ellen;

- Rendszerek helyreállíthatóságának biztosítása

- Jogosulatlan adatbevitel elleni védelem

- Ellenőrizhetőség

- Több lehetséges adatkezelési megoldás közül a magasabb szintű védelmet biztosítót kell alkalmazni


A belső szabályzat közlése:

a) Meglévő munkavállalóknak átadva nyomtatva vagy e-mailben megküldve, elektronikusan vagy papír alapon igazolni kell tudni, hogy megkapta (aláírással, átvételi elismervénnyel, stb.)

b) Új munkavállalóknak a munkaszerződéssel együtt átadva és aláíratva, hogy átvette

Adatszivárgás, adatlopás – ha megtörtént a baj - szankcionálás

1. Szankciók a titoksértő munkavállalóval szemben:

a) Felmondás/azonnali hatályú felmondás

- NAIH gyakorlat nincs összhangban a munkaügyi bírósági gyakorlattal

- Bíróság: jogszerű a felmondás az ellenőrzés során felderített kötelezettségszegésért akkor is, ha az ellenőrzéssel ezzel a munkáltató személyhez fűződő jogot vagy adatkezelési jogot sértett, de a munkáltatónak a jogellenes adatkezelésért felelnie kell (külön eljárásban)

b) Kártérítés – jogsértést, kárt munkáltatónak kell bizonyítania

- Maximum 4 havi távolléti díj

- Korlátlan: szándékos vagy súlyosan gondatlan károkozás esetén

Adatszivárgás, adatlopás – ha megtörtént a baj - szankcionálás

2. Üzletfél/Ügyfél vagy Beszállító/Alvállalkozó titoksértési szankciói:

a) Kártérítés: szerződésszegésért való felelősség szabályai szerint

b) Kötbér: ha azt a szerződésben kikötötték titoktartás megszegése esetére

c) Felmondás/azonnali hatályú felmondás: ha a szerződés szerződésszegés esetére adott ilyen jogot

Adatvédelmi incidensek kezelése

Info tv. 3. § 26.

- Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.

- Adatvédelmi incidens nyilvántartás (15. § (1)):

a) Tájékoztatás: érintett kérelmére az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről max. 25 napon belül

b) Adatvédelmi incidens nyilvántartás vezetése: az érintett személyes adatok köre, az adatvédelmi incidenssel érintettek köre és száma, az adatvédelmi incidens időpontja, körülményei, hatásai és az elhárítására megtett intézkedések

c) Elutasított kérelmeket évente a NAIH-hoz be kell jelenteni

Az EU új adatvédelmi irányelve – Szép új világ 2018-tól?

a) egységes szabályok az európai unió minden tagállamára, a nemzeti jogszabály helyébe lép

b) one-stop-shop – az egyablakos rendszer: a közösségben működő vállalkozásoknak csak egyetlen adatvédelmi felügyeleti hatósággal kell foglalkozniuk az EU-ban

c) bevezeti a „felejtés jogát”, vagyis azt a jogot, hogy a személyes adatokat véglegesen töröltessék, ha az adatkezelés célja már teljesült

d) bevezeti az „adathordozhatóság jogát”, vagyis megkönnyíti a szolgáltatók közötti adatátvitelt

e) személyes adatok elleni támadás, jogosulatlan hozzáférés esetén (adatvédelmi incidens) az adatkezelő köteles a nemzeti adatvédelmi hatóságot tájékoztatni az incidensről (most csak nyilvántartást kell vezetni)

f) magasabb adatvédelmi bírság: a jogsértő adatkezelő globális éves forgalmának 4%-a, de legfeljebb 1 millió euro (eddig max. 20 millió forint volt)

Köszönöm a figyelmet!

Dr. Horváth Katalin

Ügyvéd – Partner

Sár és Társai Ügyvédi Iroda [email protected]

www.sarandpartners.hu

Webjog. hu

mailto:[email protected]




http://www.sarandpartners.hu/

https://hu.linkedin.com/in/katalinh

it és adatvédelem – adatszivárgás, adatlopás elleni jogi védelem … · 2016-04-18 ·...

Documents