Adatvédelmi hatásvizsgálat – szoftver és egyéb megoldások

A Nemzeti Adatvédelmi és Információszabadság Hatóság közzétette a francia adatvédelmi hatóság által készített - nyílt forráskódú - adatvédelmi hatásvizsgálat készítésére alkalmas szoftver magyar nyelvű változatát, mely PIA (Privacy Impact Assessment) néven érhető el a naih.hu weboldalon.

Az adatvédelmi rendelet elvárásainak való megfelelés kialakításában talán a legkevésbé megfogható rész a kockázatértékelés, illetve a hatásvizsgálat. Az asztali alkalmazásként telepíthető szoftver célja az volt, hogy az adatkezelőknek segítsen áthidalni ezt a problémát.

Adatvédelmi tanácsadást végző szolgáltatóként hasznosnak tartottuk kipróbálni és tesztelni az alkalmazást. Kíváncsiak voltunk, hogy az általunk más módszerrel elvégzett kockázatelemzés mennyire lesz összhangban a PIA által készített elemzéssel. Cikkünkben a teszt során feltárt tapasztalatainkat szeretnénk megosztani az érdeklődőkkel, valamint javaslatot tenni egyéb megoldások alkalmazására.

PIA használatba vétele és a felhasználói felülete

A szoftver telepítése tökéletesen egyszerű: miután kiválasztjuk az operációs rendszert, letöltődik a szoftver, mely ezután azonnal futtatható és használható.

A felület egyszerű, vezeti a kezet és a szemet, bár egyes – az angol nyelvet nem ismerő - felhasználók számára nehézséget jelenthet, hogy maradtak nem lefordított részek, például a menüben, de a teljes súgó is csak angol nyelven érhető el. Ettől függetlenül véleményünk szerint a legtöbb felhasználó tud boldogulni, mert a súgó inkább az intuícióból és korábbi szoftveres tapasztalatokra támaszkodva is felfedezhető lépéseket írja le.

Egy DPIA – vagyis egy adatkezelési folyamatot leíró adatlap - létrehozása után a bal oldali menü vezeti a felhasználót, a jobb oldali tudásbázis pedig segít az egyes pontok értelmezésében, mivel az adott mező kitöltésére vonatkozó rendelet szövegrész jeleníthető meg.

Privacy Impact Assessment

A PIA-hoz szükséges ismeretek és az elérhető eredmények

Ahogy a NAIH oldalán is olvasható, „az eszközt az adatkezelőknek, főképpen azon adatkezelőknek címezték, akik az adatvédelmi hatásvizsgálat folyamatát illetően alapszintű ismeretekkel rendelkeznek”. Hangsúlyozni szeretnénk, hogy meglátásunk szerint is azon felhasználók tudnak hasznos és hiteles eredményre jutni, akik legalább alapszintű, de inkább nagyobb tapasztalattal rendelkeznek a témában.

A legtöbb segítséget a kockázatok menüben elérhető és beemelhető adatvédelmi intézkedések és ezek magyarázata jelentik. Ezek alapján a kezdő kockázatértékelő felhasználó is tud mire gondolni, illetve szembesülhet azzal, hogy milyen egyszerű intézkedések is befolyásolhatják, növelhetik az adatbiztonságot.

Sajnos a mezők kitöltésénél nincs aktív támogatás, sem jogkezeléssel elkülönített véleményező vagy jóváhagyó felhasználó, így akár mi magunk el is bírálhatjuk, hogy elégedettek vagyunk-e a leírtakkal.

PIA kockázatelemzés

Mire minden menüponton végigérünk, joggal érezhetjük úgy, hogy ez több volt, mint egy kockázatelemzés vagy hatásvizsgálat, hiszen lényegében elvégeztük a teljes adatkezelési folyamat leírását, bemutatását. A tényleges kockázatértékelés a kockázatok menün belül három almenüben történik meg: az adatokhoz való jogosulatlan hozzáférés, az adatok véletlen vagy jogellenes megváltoztatása és az adatvesztés. Itt adhatjuk meg, hogy mi történhet, vagyis milyen főbb következményekkel járna az érintettekre, ha a kockázat bekövetkezne, milyen fő fenyegető veszélyek idézhetik elő a kockázatot, melyek a kockázat forrásai, valamint, hogy a korábban megadott adatbiztonsági intézkedések közül melyek akadályozhatják meg a megjelölt kockázatok bekövetkezését. Rövid magyarázatot kapunk a tudásbázisból, hogy egy-egy részben mire kellene gondolni, de végül mégis magunknak kell megadni a konkrét következményeket, veszélyeket, vagyis tökéletesen kell ismerni az adott folyamatot, hogy tudjuk, milyen események történhetnek, melyek veszélyeztetik az adatok bizalmasságát, integritását és rendelkezésre állását. Egy csúszka segítségével állíthatjuk be, hogy milyen súlyosnak ítéljük meg az adott kockázatot, illetve, hogy mekkora a valószínűsége annak, hogy bekövetkezik. A felsorolt kockázatokról kapunk egy összefoglaló ábrát, ami inkább jól mutat, mint valódi segítséget nyújt.

A mezők kitöltése és jóváhagyása után egy másik ábra is megjeleníti, amit beállítottunk: a „kockázatok feltérképezése” diagramon három pötty jelzi a három szempontot, illetve az ezekhez megállapított kockázat mértékét és valószínűségét:

PIA kockázat
  • (A) Adatokhoz való jogosulatlan hozzáférés
  • (M) Az adatok véletlen vagy jogellenes megváltoztatása
  • (D) Adatvesztés

A jóváhagyás menüben látható egy intézkedési terv, amely színekkel segít eligazodni, hogy van-e valahol további teendő, szükséges intézkedés, módosítás, végül pedig az adatvédelmi tisztségviselő és az érintettek véleménye is megadható.

Ha egy folyamaton (DPIA-n) végig értünk, akkor kapunk egy 10-15 oldalas dokumentációt. Az eredmény alakítható úgy, hogy hasonló eredményt kapjunk a saját korábbi elemzésünkhöz, azonban a folyamat, míg az eredményig eljutunk, jelentősen hosszabb.





Kockázatértékelés egyszerűbben

kockázatértékelés

Természetesen nem volt célunk bírálni a szoftvert, hiszen bizonyára sokak számára jelent segítséget. Azonban gyakorlati oldalról megközelítve, a hazai kis- és középvállalkozások adatvédelmi felkészülésében nem feltétlenül a PIA lesz az, ami megoldást jelent a „kockázatértékelés” és „hatásvizsgálat” szavak által okozott fejtörésben.

Az adatvédelmi rendelet szerint a hatásvizsgálat azon adatkezelési folyamatok esetében kötelező, amikor automatizált adatkezelés történik, ide értve a profilalkotást is, ha az érintettre joghatással lehet a döntés kimenetele, ha nagy számban kezelünk különleges személyes adatokat vagy bűncselekményekre vonatkozó személyes adatokat, ha nyilvános helyek nagymértékű és módszeres megfigyelését végezzük, illetve összességében akkor, ha az adatkezelési művelet az érintett szabadságjogaira nézve valószínűsíthetően magas kockázattal jár. A hatásvizsgálat, illetve a kockázatelemzés az adatkezelés során valószínűsíthetően felmerülő veszélyeket, kockázatokat tartalmazza: mi történhet, amiből adatvédelmi incidens lesz, adatvédelmi szempontból veszélyezteti az érintett személyt, személyeket. Ezen kívül tartalmazza, hogy mit teszünk annak érdekében, hogy a feltételezett esemény ne következzen be.

Tapasztalataink alapján a KKV-k nagy százalékát nem érinti a rendelet által kötelezően elvégzendő hatásvizsgálat. Mégis lehetnek olyan adatkezelési folyamataik, melyeket érdemes végig gondolni és mérlegelni, hogy az adatkezelés során történhet-e bármi olyan esemény, ami azt eredményezi, hogy illetéktelen személy hozzáférhet az adatokhoz, visszaélhet azokkal, megváltoztathatja vagy meggátolja a rendelkezésre állásukat. Ha van ilyen, akkor mindenképpen meg kell fogalmazni azokat az intézkedéseket, amelyeket a napi munkavégzés során megteszünk, biztosítunk annak érdekében, hogy ezek ne történjenek meg. Továbbá ezen intézkedéseket figyelembe véve, érdemes egy skála alapján értékelni (hasonlóan a PIA szoftverhez), hogy milyen súlyosnak ítéljük meg azt az eseményt és egyáltalán mekkora a bekövetkezési valószínűsége. A számok szorzatából kaphatunk egy kockázati értéket, melyet egy szintén önállóan meghatározott, vagy gyakran alkalmazott skálán elhelyezhetünk és megítélhetjük, hogy milyen kockázati értéket jelent.

PIA hatásvizsgálat

Erre a célra egy táblázatkezelő is megoldást jelenthet, de akár egy egyszerű dokumentumban is leírhatjuk az észrevételeket és az intézkedéseket. Hiszünk benne, hogy az eszközöknek és az intézkedéseknek egyensúlyban kell lenni az adott vállalkozás méretével és folyamatainak komplexitásával. Kis- és középvállalkozások számára is megvalósítható információbiztonsági javaslatainkat megtekintheti az ingyenesen letölthető Információbiztonsági kézikönyv KKV-k számára című e-bookban.

Igyekeztünk objektívan bemutatni az adatvédelmi hatásvizsgálat szoftver használata során tapasztaltakat és felhívni a figyelmet a kis- és középvállalkozások számára is egyszerűen alkalmazható lehetőségekre. Bízunk benne, hogy a leírtak alapján kevésbé tűnik elképzelhetetlennek, hogy házon belül elvégezzék akár a kockázatelemzést, akár a hatásvizsgálatot, még akkor is, ha ezt a rendelet alapján nem lenne indokolt megtenniük. A lehetséges veszélyek azonosítása, kiértékelése és kezelése minden vállalkozás életében a hosszú távú fenntarthatóságot, és a versenyképesség növekedését eredményezi. A folyamataik, stratégiájuk, üzletmenet folytonosságuk pilléreiben hordozott kockázatok azonosítása nem csak az adatvédelem, de a cég tudatos és szervezett működésének is alapja kell, hogy legyen.

Legújabb letölthető kockázatelemzési, hatásvizsgálati, szükségesség-arányosság vizsgálati segédletünkkel Ön is gondoskodhat vállalkozása adatvédelmi felkészüléséről!

Felkészülni sosem késő, kezdje el cége átvilágítását még ma!

Segédlet megtekintése

Rovat:
Mátyus Lilla - Crosssec Blog
Szerző:
Mátyus Lilla
Tanácsadási szakmai vezető és MIR vezető. Több, mint 10 éves tapasztalata kiterjed a kkv-k működésére, folyamataira, HR és munkaügyi területre, a teljesítménybér bevezetésére és alkalmazására, valamint többéves szervezetfejlesztési, minőségirányítási és adatvédelmi tapasztalattal is rendelkezik.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram