Rés a pajzson (3. rész) – a kiegészítő garanciák megerősítése

Az Európai Adatvédelmi Testület véleményezésre közzétett ajánlása (1/2020. számú ajánlás) ilyen kötelmi, szerződésekbe beépíteni javasolt rendelkezéseket határozott meg.

Elsődlegesen amennyiben az adatkezelő azonosította és konkretizálta az adattovábbítás természetét, meghatározhatja azokat a technikai követelményeket, amelyeket elvár az adatfeldolgozótól a biztonságos adattovábbítás érdekében.

Az adatkezelő a szerződésben rögzítheti az adatfeldolgozó azon kötelezettségét, hogy tájékoztassa az adatkezelőt az adott harmadik ország azon jogszabályi rendelkezéseiről, amelyek lehetővé teszik a hatóságok számára az adatokhoz való hozzáférést (különös tekintettel a bűnüldözési, illetve nemzetbiztonsági rendelkezésekre) az ezzel kapcsolatos gyakorlatot, valamint azokat az adatfeldolgozó által beépített és alkalmazott megelőző mechanizmusokat, amelyek egy adatvédelmi incidens megelőzésére szolgálnak.

Ezzel gyakorlatilag az adatkezelő egy átvilágítást követel meg a szerződő féltől (adatfeldolgozó) az adatfeldolgozás helye szerinti állam adatvédelmi szempontú, az EU minimálisan megkövetelt védelmi szintjével való összehasonlítására.

Ezzel kapcsolatban javasolt azt is beépíteni a szerződésbe, ha az adatfeldolgozás során jogszabályi változások következtében nem képes az adatfeldolgozó teljesíteni a minimálisan megkövetelt adatvédelmi szintet, amely bekövetkezte esetén az adattovábbítást is nyomban megszünteti az adatkezelő.

Javasolt továbbá olyan garanciákat beépíteni a szerződésbe, amelyben az adatfeldolgozó kijelenti és szavatolja, hogy – ideértve a harmadik ország hatóságainak utasítását is - nem alakított ki sem szoftveres, sem hardveres backdoort (hátsó kapu) az adatok illetéktelen hozzáférésére, illetve hasonló céllal nincs ilyen kötelezettsége a hatóságok irányába.

Az adatkezelő szerződésben megerősítheti az adatvédelmi ellenőrzések, auditok lefolytatásának jogát, amely során jogosult ellenőrizni, hogy történt-e adatvédelmi incidens és kerültek-e adatok illetéktelenek (így akár hatóságok) kezébe. Erre általában technikai megoldásként a hozzáférési napló (access log) szolgál.

Elsősorban olyan államokban, ahol a demokratikus működés iránt kétségek vetődnek fel és ezáltal a hatóságok személyes adatokhoz való hozzáférésének a kockázata is magas, a Testület javasol egy úgynevezett garanciális kanári, azaz „warrant canary" módszert bevezetni, amely egy rendszeres, titkosított jelet, információt küldd az adatkezelőnek.

Amennyiben ilyen információ nem érkezik meg a várt időpontban, az adatkezelő a tájékoztatás hiányából következtethet arra, hogy az adatok illetéktelen kezekbe kerültek valamely hatóság által.

A javaslat továbbá szorgalmazza azon rendelkezések szerződésbe építését is, amelyek előírják az adatfeldolgozó számára, hogy minden egyes hatósági adatigénylést vizsgáljanak felül, és amennyiben azt nem a helyi jogszabályoknak megfelelő módon terjesztették elő, vagy nem is jogosult a hatóság az érintett adatokba betekinteni, az adatfeldolgozó a rendelkezésére álló jogi eszközökkel kísérelje meg megakadályozni az illetéktelen hozzáférést (például peres úton, vagy adatvédelmi hatósági eljárásban).

Ehhez természetesen szükséges az adott állam által biztosított jogszabályi keretek megléte is.

Fentieken túl javasolt az adatfeldolgozó számára kialakítani olyan belső szabályozást, amely lehetővé teszi az átláthatóság biztosítását, így például rendszeres transzparencia jelentés publikálása, vagy az egyes adattovábbítások és hatósági megkeresések dokumentálása.

Végezetül a Testület ismételten kiemeli, hogy az egyik meghatározó alapelv, az adattakarékosság elvének követése továbbra is megkönnyítheti az adatkezelő dolgát, hiszen a nem kezelt adatok vonatkozásában nem szükséges semmilyen intézkedést tenni és adatvédelmi incidens kockázata sem merülhet fel. Tehát első lépésként mindig érdemes végiggondolni a kezelt adatok körét és szükségességét, illetve célhoz kötöttségét.

Fontos, hogy a kiegészítő garanciák bevezetését követően szükséges az adattovábbításokat rendszeresen végigkövetni és felülvizsgálni a kialakított rendszert, szükség szerint módosítani a mechanizmusokat, illetve amennyiben a harmadik országban az adatfeldolgozó nem képes, vagy hajlandó a kiegészítő garanciák betartását biztosítani, vagy azok alkalmatlanná váltak, akár teljesen megszüntetni az adattovábbításokat.

Mindezen kérdések, garanciák, szabályozások, mechanizmusok átgondolása, megoldási metódusok kidolgozása szakember közreműködését igényli – tanácsolták végezetül a Kovács Réti Szegheő Ügyvédi Iroda szakértői.