Személyes és orvosi adatok kezelése a weboldalon

A GDPR rendelet bevezetésével és szabályaival nagyjából mindenki tisztában van. Tárhely szolgáltatóként különösen figyelnünk kell rá, hogy ügyfeleink hogyan kezelik a személyes adatokat a bérelt tárhelyeken, hiszen ezeknek az adatoknak a GDPR értelmében Ők adatkezelői mi pedig adatfeldolgozói vagyunk. Egy konkrét eset és kérdéskör kapcsán még mélyebbre ástam magam a rendeletben és az Info törvényben mint eddig, ennek tanulságos eredményét szeretném most veletek megosztani.

Jó tudni!

A cikk nem tartalmazza a GDPR részletes leírását és a megfelelés feltételeit, csak a mi értelmezésünket tükrözi a személyes adatokkal kapcsolatban, a tárhely szolgáltatás és honlap üzemeltetés vonatkozásában. A Tárhelypark Kft. nem ad jogi tanácsot a GDPR-al kapcsolatban, így ha kérdésed van mindenképp fordulj szakértőhöz!

Mi az a személyes adat, miről szól ez az egész?

Nagyon leegyszerűsítve a személyes adat minden olyan adat, mellyel egyértelműen beazonosítható egy személy. Ha valaki ilyen adatokat gyűjt adatbázisban, akkor Ő személyes adatokat kezel. Mindenki, akinek a honlapján a látogatók regisztrálnak, vagy valahogyan adataik bekerülnek egy adatbázisba, személyes adatokat kezel. Ez lehet sima regisztráció, hírlevél feliratkozás, vagy egy komolyabb adatgyűjtés is. Elég hozzá egy név és egy mail cím tárolása is.

Személyes adatokat az Európai Unió területén nem lehet csak úgy gyűjtögetni, szigorú szabályozása van, melyet a „Az Európai Parlament és  a Tanács (EU) 2016/679 rendelete” szabályoz, ez a GDPR. Ezt a rendeletet kiegészíti Magyarországon az „2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról” című törvény (infotörvény). Tehát mindenki, aki ilyen adatokat kíván kezelni köteles betartani ezeket a törvényeket és rendeleteket.

A Tárhelypark Kft. az ügyfeleivel létrejött szerződésben tovább pontosítja a fentebbi két törvényt egyrészt az ÁSZF-ben, másrészt az „Adatfeldolgozási tevékenységek általános szerződési feltételei” című dokumentumban, melyek a Tárhelypark ÁSZF menüpontban érhetők el.

Orvosi, biometrikus és más különleges adatok

A személyes adatok körébe tartozik egy speciális adatokat tartalmazó kör, melyet „különleges adatnak” nevez a GDPR rendelet. Ezeknek az adatoknak a kezelését még szigorúbban veszi a törvény, így a személyes adatok kezelésének szabályain túl még több előírás vonatkozik rájuk.

„(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.”

Tehát különleges adatok például az orvosi adatok, melyek betegségekre vonatkoznak, de azok az adatok is, melyek egy személy tulajdonságait írják le, például a magassága, szeme színe, lábmérete stb. ha azok alapján egyértelműen beazonosítható a személy.

Néhány példa olyan weboldalakra, rendszerekre, melyek ilyen különleges személyes adatokat gyűjthetnek, így az adatok kezelésére különös figyelmet kell fordítani a tárhelyen

  • Fogászat
  • Magánklinika
  • Orvosi magánrendelő
  • Plasztikai sebészet
  • Kórház
  • Beléptető rendszer ujjlenyomat vagy retina tárolással
  • Társkereső oldal

Hogyan lehet személyes adatokat kezelni?

Ha nem különleges adatokról van szó, akkor a személyes adatok kezelése egy kis figyelemmel elég egyszerűen kezelhető a tárhelyen. Ehhez tudni kell, hogy kinek mi a feladata, mit kell a tárhely tulajdonosoknak és a Tárhelyparknak tenni, hogy törvényesen járjunk el.

Az Infotörvény a 25/i Adatbiztonsági intézkedések részben rögzíti a feladatokat. Rögtön az első sorból kivehető, hogy az intézkedés két oldalú, a tárhely tulajdonosát (adatkezelő) és minket (adatfeldolgozó) is érint, közös feladat.

„Az adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető – így különösen az érintettek különleges adatainak kezelésével járó – kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.”

Ez együttes intézkedésekből konkrét vállalásainkat az „Internetes Szolgáltatás Általános Szerződési Feltételek” és „Adatfeldolgozási tevékenységek általános szerződési feltételei” rögzítik (Tárhelypark ÁSZF oldal), mely alapján a Tárhelypark Kft. feladata:

„3.2.2. A Tárhely szolgáltatás kizárólag az Előfizető által a szerverre feltöltött honlapok, adatok és programok Internet kapcsolatát, Internet felé továbbítását biztosítja az Internet felhasználói számára, nem tartalmaz semmilyen egyéb szolgáltatást.”

illetve az Adatfeldolgozási feltételekben

„5.1.2. A Szolgáltató a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  • Szolgáltató szervereinek tűzfalas védelmét
  • Az adathordozók RAID1 vagy magasabb szintű védelmét
  • A szerveren futó felhasználók Kernel szintű elkülönítését
  • A szerveren tárolt fájlok jogosultságainak megfelelő kezelését.”

Jó tudni!

Ha röviden kell összefoglalnunk, akkor mi tárhely szolgáltatóként vállaljuk a tárhely működéséhez szüksége technikai feltételek biztosítását, de nincs rálátásunk a tárhelyre feltöltött tartalomra, szoftverekre és azok biztonságára, ezért ezek biztosítását nem vállaljuk, ez minden esetben megrendelőink feladata.

Konkrét intézkedések a személyes adatok kezelésével kapcsolatban

Az Infotörvény 25/3. bekezdés konkrétan felsorolja pontokba szedve a szükséges intézkedéseket, melyeket az adatkezelőnek és adatfeldolgozónak együttesen biztosítania kell. Minden egyes pontnál meg kell vizsgálni, hogy biztosítva van-e, illetve, hogy a biztosítás kinek a feladata.

„a) az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását”

Jelen esetben az adatkezelő rendszer a weboldal, ami a tárhelyen van (például WordPress), tehát a rendszer védelme az adatkezelő feladata, tekintve, hogy a WordPress rendszert Ő telepítette, használja és adminisztrálja, nekünk nincs hozzáférésünk. A tárhely tulajdonosának kell odafigyelni a weboldal folyamatos frissítésére és karbantartására, mint ahogyan arról a szerződésben megállapodtunk.

„b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását”
Ezt a Tárhelypark Kft. biztosítja. Szervereink 24 órában őrzött szerverteremben vannak, az Interneten keresztül kizárólag magas biztonságú titkos kulcsokkal hozzáférhetők távolról.

„c) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását”

Ha a használt weboldalra csak felhasználónév és jelszó páros megadásával lehet bejelentkezni, és a személyes adatokat csak így lehet elérni, akkor ezt a pontot a weboldal tulajdonosa biztosítja.

„d) az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását,”

Hasonlóan az előző ponthoz, itt is arról van szó, hogy jogosulatlan ne férjen hozzá az adatkezelő rendszerhez. Ezt egyrészt mi biztosítjuk a tárhely jelszavával, másrészt a tárhelyen tárolt rendszer is csak jelszóval legyen elérhető. Figyelni kell továbbá azokra a „berendezésekre” is, amivel a rendszert használjuk (otthoni gép, mobil), mert ezek feltörésével szintén jogosulatlanul érhető el a rendszer.

„e) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,”

Csak olyan rendszert szabad használni, ahol ha a felhasználók elérhetik az adatokat, akkor csak saját adataikat érhessék el. Például ‘A’ felhasználó ne tudja tudja ‘B’ felhasználó adatait megnézni és módosítani.

„f) azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére,”

Itt arról van szó, hogy a tárhelyen tárolt rendszerből lekérdezhetőnek kell lennie, hogy milyen adathoz ki fér hozzá, kinek került elküldésre. Ez általában lekérdezhető egy CMS rendszerből, tehát sokat valószínűleg nem kell tenni érte.

„g) azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,”

Ez hasonlóan az F ponthoz szintén lekérdezhető egy mai, átlagos CMS rendszerből. Ki vitte fel, mikor, és általában még IP cím is tárolásra kerül. Lényeges, hogy itt nem szabad a szerver által tárolt naplóra támaszkodni, például access log-ra, mert azokat törölhetjük a szerverről, és biztosan nem őrizzük meg túl hosszú ideig helytakarékosság miatt.

„h) a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,”

A személyes adatok a tárhelyig és onnan vissza hálózati kábeleken és eszközökön továbbítódnak. Ezek fizikai védelme adott a szerverterem és az Internetet alkotó eszközök fizikai védelmével, „lehallgatás” elleni védelme pedig könnyedén megoldható a weboldal SSL védelmével. A Tárhelypark minden tárhelyhez ingyenesen biztosít SSL kulcsot, így a hálózaton továbbított tartalom védett, ha ezt a tárhely tulajdonosa használja.

„i) azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen, valamint”

Minden szerverünket a fentebb leírt módon minimum Raid1 védelemmel látjuk el, így az adatvesztés esélye igen alacsony. Szervereinket rendszeres időközönként mentjük is (ÁSZF szerint), de javasoljuk, hogy megrendelőink is mentsék a tárhelyen tárolt adatokat rendszeresen.

„j) azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével se lehessen megváltoztatni.”

A tárhely környezetének működőképességét mi biztosítjuk, hiszen erről szól a tárhely szolgáltatás. A szerverek elérhetőségét külső szolgáltatóval folyamatosan ellenőrizzük, és erről jelentés is készül, mely elérhető weboldalunkon. A tárhelyen futó programok működéséről és a jelentésekről a tárhely tulajdonosának kell gondoskodnia. Itt arról van szó, hogy a weboldal működik, és ha hiba van, akkor arról legyen egy hibanapló bejegyzés. Arra is oda kell figyelni, hogy hibás működés esetén a személyes adatok ne sérüljenek.

A fentebbi pontokból látszik, hogy a személyes adatok biztonsága közös feladatunk, azonban nagyobb figyelmet igényel a tárhely tulajdonosától (adatkezelőtől), hiszen Ő tudja hogyan kezeli az adatokat, ilyen programot használ ehhez, és ismeri a kezelt adatok körét.

Mi szükséges a különleges adatok kezeléséhez?

A fentebb említett különleges adatok kezeléséhez (például orvosi vagy biometrikus adatok) a személyes adatok általános kezelésén túl egyéb, speciális intézkedések is szükségesek. Elsődlegesen a rendelet GDPR 37. cikk 1/c szerint az adatkezelőnek és feldolgozónak mindenképp rendelkeznie kell adatvédelmi tisztségviselővel:

„Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor (…) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak (…) vonatkozó adatok nagy számban történő kezelését foglalják magukban.”

Ez a tisztségviselő felelős a különleges adatok megfelelő kezelésért, tehát az Ő felelőssége, hogy az adatkezelésnél betartásra kerüljenek a vonatkozó szabályok. Véleményem szerint ez egy elég komoly feladatkör, nem elegendő csak névlegesen kijelölni valakit. Probléma esetén a tisztségviselőt fogják a hatóságok felelősségre vonni.

A GDPR 35.cikk rendelkezik még egy hatásvizsgálatról is:

„Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik”

A különleges adatok kezelése egyértelműen magas kockázattal jár, ezért a hatásvizsgálatot el kell végezni az adatkezelő és az adatfeldolgozó rendszerén is. Ha honlapról vagy tárhelyről beszélünk, akkor ez azt jelenti, hogy az adatkezelő összes érintett eszközét vizsgálni kell, de ezen felül a hoszting szolgáltató rendszerét is. Fontos tudni, hogy ha az adatokat olyan elavult programok kezelik, melyeknek ismert biztonsági rései vannak (például Windows XP vagy régi CMS rendszer) akkor a hatásvizsgálatot teljesen felesleges elkezdeni, mert a rendszer nem fog megfelelni, hiszen az adatok ilyen elavult rendszereken nincsenek biztonságban.

A GDPR 36. cikk rendelkezik arról is, hogy magas kockázatú adatok kezelése esetén a hatásvizsgálat elvégzését követően a hatósággal is konzultálnia kell az adatkezelőnek, ami ebben az esetben a hírközlési Hatóságot jelentheti.

„Ha a 35. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.”

A fentebbiekből belátható, hogy egy átlagos webhoszting szolgáltató nagy valószínűséggel alkalmatlan a különleges adatok kezelésére (beleértve a Tárhelyparkot is), mert az osztott tárhely szolgáltatás sajátosságaiból adódóan még ha akarná sem lenne képes teljesíteni a fentebbi elvárásokat. A szolgáltatónak nincs rálátása az ügyfelek informatikai rendszerére és saját rendszere sem esett át hatásvizsgálaton. Megjegyzem, ha átesne, akkor valószínűleg elbukna, tekintve, hogy egyetlen szerveren számtalan weboldal működik, melynek forráskódjára, működésére semmilyen rálátásunk nincs, így nem is lehet kijelenteni, hogy azok minden tekintetben biztonságosak.

Miért nem jó e-mailben személyes adatokat küldeni és fogadni?

Sok esetben találkozunk vele, hogy webshopok vagy akár orvosok küldenek vagy kapnak e-mailben személyes adatokat vagy akár különleges személyes adatokat (pl. orvosi adatok) is saját szerverünkön keresztül. A fentebbi leírásból látszik, hogy sajnos ez a gyakorlat még az egyszerűbb személyes adatoknál sem állja meg a helyét, tekintve, hogy nincs rálátásunk, hogy az e-mail milyen rendszereken megy keresztül míg eléri a célját. Még akkor is, ha mi titkosítva küldjük a levelet, nem lehetünk benne biztosak, hogy a „másik oldalon” a fogadó is titkosítva kezeli azokat. Ha a leveleket már eleve nem titkosítva küldjük, akkor a probléma biztosan fennáll, hiszen a titkosítatlan e-mailbe bárki „beleolvashat” a hálózaton, melyen keresztülmegy.

Ha különleges személyes adatokról beszélünk, akkor a fentebbiek értelmében meg kellene győződnünk az e-mail küldésében és fogadásába részt vevő összes számítógép, eszköz, hálózat biztonságáról, ezt egy hatásvizsgálatban fel kellene mérni, a tisztségviselőnek elfogadni és jelenteni a hatóságnak. Belátható, hogy ez gyakorlatilag lehetetlen, nem beszélve a naplózásról, sérthetetlenségről, így a GDPR rendelet gyakorlatilag kizárja, hogy a különleges adatokat e-mail formában továbbítsunk, még ha ez konkrétan nincs is leírva benne.

Ha hálózaton szeretnél különleges személyes adatokat továbbítani, akkor erre valamilyen más, mindenképp ponttól pontig titkosított kommunikációt kell kitalálnod, ami biztosítja a fentebb leírt GDPR által elvárt feltételeket.

 

Hozzászólás küldése

Kövess minket!