ADA(T)GOBERT – az adatvagyon hatalma

dr. Varga Balázs Máté

dr. Varga Balázs Máté

A pénz hatalom, tartja a mondás. Napjainkra azonban ez egyre inkább felülíródik, és egyre sürgetőbb a paradigmaváltás, ugyanis már nem a pénz, hanem az adat és az információ az egyik legnagyobb hatalom. Ahogy a pénzhez is hozzákapcsolódik a védelem, mert azt vagy elzárt helyen, vagy – jobb esetben – egy bankban tároljuk, hogy azt biztonságban tartsuk másoktól, úgy az adatokhoz is kapcsolódik egyfajta védelem. Csak itt az a különbség, hogy az adatokat másoktól nemcsak saját érdekünkben, hanem azok érdekében is védenünk kell, akiknek az adatai a birtokunkban vannak. 

Gondoljunk csak az elmúlt évek nagy adatszivárgási botrányaira, az adatokkal – függetlenül azoknak legális vagy illegális megszerzési módjától – emberek életére lehet hatást gyakorolni, tönkretenni, de akár gazdasági eseményeket, választásokat is lehet velük befolyásolni.

Na de mi is indukálta ezt a hangsúlyeltolódást, illetve mi adta ennek a cikknek az apropóját? Egyrészről, a digitalizáció már önmagában hajtómotorja ennek a folyamatnak, és elkerülhetetlenné teszi azt, hogy a működéshez egyre több adatra legyen szükség. Másrészt – a sajnos már-már életünk részévé váló – koronavírusjárvány is jelentős löketet adott ennek. Megváltoztatta például az emberek vásárlási szokásait, megnőtt a kereslet az online vásárlás iránt, és olyanok is elkezdtek online vásárolni, akik eddig soha nem tették. Emellett a kínálati oldalon is megszaporodtak azok, aki vagy kényszerből, a túlélés miatt, vagy egy új üzleti lehetőséget látva a megnövekedett keresletben belevágtak az online kereskedelembe. De nemcsak a kereskedés került át az online térbe, hanem nagyon sok szolgáltatás is átalakult és a digitalizáció „áldozatául” esett. Még olyanok is, amelyekről elsőre nem is gondoltuk volna. Gondoltuk volna például pár évvel ezelőtt, hogy a világ egyik legnagyobb fesztiválja, a Tomorrowland, ami 2019-ben még 400 ezer körüli fizikális látogatottsági adatokat tudhatott magáénak, a digitális világba átköltözve – ha csak a látogatók számát tekintjük – nagyobb sikert könyvel el több mint egymilliós nézettséggel? Ugye, hogy nem?! De ezen kívül is számos lehetőség rejlik az adatokban, illetve azok felhasználásában, olyan, már-már hétköznapi megoldásoktól kezdve, mint a targetált hirdetések megjelenítése, egészen olyan – sokak által még unortodoxnak tartott – megoldásokig, amivel megkérdőjeleződik a számlaképek létjogosultsága (lásd NAV adatkapcsolat). 

Ez a változás, illetve az adatok jelentőségének felértékelődése azonban másnak is “szemet szúrt”. A Gazdasági Versenyhivatal még az év első harmadában piacelemzési kampányt hirdetett, amelynek fő célja az online kereskedelemmel kapcsolatos adatvagyon mibenlétének feltárása és biztonságának vizsgálata.

(Adat)vagyonunk megőrzésének lépései

A fentiekből érezhető, hogy amikor – felismerve az adatvagyon jelentőségét – egy olyan hatóságot is elkezd foglalkoztatni a kérdés, amelynek alapvetően nem feladata az adatvédelem vagy az adatokkal kapcsolatos bármilyen hatáskör gyakorlása, akkor itt tényleg valami komoly dologról van szó, amit nem lehet figyelmen kívül hagyni. Ha tehát eddig nem tettük, akkor talán most van az utolsó lehetőség arra, hogy elkezdjünk tudatosan bánni a kezünkben lévő hatalommal, és megtennünk a szükséges lépéseket, hogy “vagyonunkat” saját magunk és mások érdekeben is óvjuk az egyre nagyobbá váló sérülékenységnek való kitettségtől.

Az adatvagyon szempontjából alapvetően kétféle vállalkozást különböztethetünk meg egymástól. Egyrészről vannak azok a vállalkozások, amelyek kvázi kényszerből kerülnek kapcsolatba adatokkal, mivel a működésükhöz valamilyen módon szükséges, hogy bizonyos adatok rendelkezésükre álljanak. Ezek a cégek azonban nem tudnak mit kezdeni ezzel az ölükbe hullott „kinccsel”, egyszerűen azért, mert nem erre vannak berendezkedve. Ezzel ellentétben vannak azok, akiknek az egész működésük az adatok sokaságára épül, és az adatokból, valamint a közöttük fennálló összefüggésekből építenek üzletet, aminek végső megjelenési formája sokszor valamilyen digitális szolgáltatás. Ez utóbbiak azok is, akiknek kiemelten fontos, hogy a vagyonukat védjék, persze ez nem jelenti azt, hogy előbbiek érdektelenek volnának, legfeljebb kevésbé tudatosak e téren.

Na de hogyan is védhetjük meg ezt a(z) (adat)vagyont, amivel valamilyen módon és célból rendelkezünk? Sokféle megközelítés és megoldás lehetséges. Mielőtt ebbe belekezdenénk, fontosnak tartom leszögezni, hogy az alábbiakban, amikor adatról beszélünk, az alatt bármilyen adatot kell érteni, nemcsak a személyes adatok körébe eső adatokat. Ennek az az oka, hogy az adat annak típusától függetlenül értékes számunkra, védelmük a legtöbb esetben egyező módszerekkel érhető el. A személyes adatok esetén annyi a különbség, hogy azokkal kapcsolatban egyéb, további szempontokat is figyelembe kell vennünk. A fogalmak tehát kissé összemosódhatnak, de ahol fontos a különbségtétel, ott ezt külön jeleztem.

Beépített adatvédelem

Egyrészről vannak bizonyos szervezési metódusok, melyek útján biztosítható, hogy a birtokunkban lévő adatok biztonságban legyenek. Ehhez már a kezdetektől nagy átgondolás szükséges, értenünk kell az egész működésünket. Fel kell tárnunk hozzá, hogy milyen adatokkal is van dolgunk, ezeket mi célból is és meddig tartjuk magunknál, szükségesek-e egyáltalán számunkra. Ezt nevezik az adatvédelem területén “privacy by design”-nak (beépített adatvédelem), azaz a nevéből is adódóan már a tervezési fázisban figyelemmel vagyunk arra, hogy hogyan biztosítjuk az adatok védelmét. 

Anélkül viszont, hogy nagyon elvesznénk most az adatvédelem elméletében, nézzünk még pár megoldást, amivel a szervezési módszerek útján biztosíthatjuk az adatok védelmét. Ilyen lehet például, hogy saját szervezetünkön belül limitáljuk a hozzáférést az adatokhoz és hozzáférési szinteket hozunk létre a különböző munkakörben lévő alkalmazottak között. Így mindenki csak ahhoz az adathoz fér hozzá, ami neki a feladata ellátásához feltétlenül szükséges. Kisarkított példával élve, a takarítónak valószínűleg nem kell ugyanolyan hozzáféréssel bírnia (leginkább semmilyennel se), mint a vállalat vezetőjének.

Egy digitalizált szolgáltatás körében szinte elkerülhetetlenül előfordul az is, hogy nem teljes egészében saját erőforrásokkal dolgozunk (vegyük például csak azt az esetet, hogy a digitális szolgáltatásunk más által nyújtott szervereken üzemel). De a különböző szolgáltatások integrációja is szükségképpen azzal jár, hogy mással is megosztjuk adatainkat. Ezek az adattovábbítások pedig kockázattal járnak és különös körültekintést igényelnek, amikor partnereinket megválasztjuk. A GDPR hatályba lépése óta pedig egy Európán kívüli adatfeldolgozó partner – bármilyen hasznos szolgáltatást nyújt is részünkre – sokszor több fejfájást tud okozni, mint amennyi hasznot hoz. Ezt felismerve azonban az utóbbi időben elindult egy olyan folyamat, amely során a nem európai szolgáltatók – mivel számukra is sok gondot okozott a megfelelés – elkezdtek európai adatközpontokat létesíteni.  Sok esetben már választhatóvá vált, hogy amennyiben a szolgáltatásukat használjuk, úgy milyen adatközpontban szeretnénk, hogy az adatainkat tárolják.

Szorosan kapcsolódik a fentiekhez, hogy az egyéb szerződéses partnerek megválasztása is megfontolást igényel és az sem mindegy, hogy milyen szerződést kötünk velük. Vegyünk egy egyszerű, és vélhetően gyakran előforduló esetet. A digitális szolgáltatásunkat, ami ráadásul erősen adatérzékeny, nem házon belül fejlesztjük, hanem az ezzel kapcsolatos feladatokat külsős fejlesztő csapat látja el, sőt esetleg még az üzemeltetést is (akár csak részben) ők végzik. Ahhoz, hogy feladatukat teljesítsék, ők szükségképpen hozzáférnek az általunk, a szolgáltatásunkhoz kapcsolódóan tárolt adatokhoz. Ilyen esetekben például fontos rögzíteni az egyes felelősségi köröket és biztosítani magunkat olyan nem várt eseményekkel szemben, ami az adataink (mások adatainak!) sérülésével, elvesztésével vagy hasonló hátrányos körülménnyel járhat.    

Alapértelmezett adatvédelem

A fent említett “privacy by design” párja a “privacy by default” (alapértelmezett adatvédelem), aminek lényege, hogy nekünk, akik az adatot valamilyen formában kezeljük, biztosítanunk kell, hogy a személyes adatok kezelése a magánélet védelmének legszigorúbb tiszteletben tartásával történjen. Így például – a fent már részben említett módon – csak a szükséges adatokat kezeljék, a lehető legrövidebb tárolási időszak és korlátozott hozzáférhetőség mellett. Továbbá ide tartozik azoknak a lépéseknek a megtétele is, amikor annak a kezébe adjuk az adatok biztonságának szintjét, akikre vonatkozóan az adatot kezeljük. Ilyen esetben mindig – szintén az elnevezésből adódóan – alapértelmezettként a legszigorúbb (adat)biztonsági beállításokat kell alkalmaznunk. Azt, hogy ez a gyakorlatban mit jelent, egy sokszor emlegetett példával lehet a legjobban megérteni. A közösségi média platformokon, ahol a felhasználók maguk állíthatják be, hogy milyen információkat kívánnak megosztani magukról, mindig ügyelni kell arra, hogy ne legyen minden adat alapértelmezett módon határozatlan számú személy számára hozzáférhető, azaz csak a legszükségesebb adatok legyenek mindenképp láthatók és az már a felhasználó saját döntése legyen, hogy további adatokat meg kíván-e adni, illetve osztani.  

Technikai és fizikai módszerek

A fentieken túlmenően – ahogy a pénz esetében a bank vagy egy széf – vannak technikai és fizikai módszerek is, amelyekkel a külső behatásoktól (is) megvédhetjük adatainkat. Például annak megválasztása is ide tartozik, hogy az adatokat milyen formában és hol tároljuk. Ez utóbbi ugyan a fent már elmondottak megismétlésének tűnhet, de mint látni fogjuk, van ennek egy másik aspektusa is.

Technikai oldalról megközelítve azokról a főként informatikai megoldásokról beszélhetünk, amelyeket rendszereink – melyen adatainkat tároljuk – védelmében alkalmazunk. Függetlenül attól, hogy saját erőforrásokkal vagy más által biztosítottakkal dolgozunk, ilyen lehet például a szerverek tűzfalas védelme. De olyan triviális dolog is ilyen, mint egy szünetmentes tápegység alkalmazása, hogy egy esetleges áramkimaradás ne okozzon teljes katasztrófát sem a szolgáltatásunk működésében, sem pedig azzal, hogy adataink elvesznek vagy megsérülnek. A népszerű tárhelyszolgáltatók (pl. Amazon AWS, Linode stb.) például általában részletes tájékoztatót tesznek közzé arról, hogy szervereiket (ezáltal pedig az általunk náluk tárolt adatokat), milyen fizikai és egyéb megoldásokkal védik. Ezek a már előbb említettek, de például ilyenek tartozhatnak még ide, mint, hogy a szervertermeket biztonsági őrök védik (ezáltal biztosítva, hogy ne férjen bárki fizikailag a szerverekhez) és technikusok is állandó jelleggel rendelkezésre állnak a hibák javítása érdekében. Folyamatos rendszerfelügyeletet biztosítanak a távoli behatásokkal szemben (például hackertámadások), vagy biometrikus azonosítást alkalmazhatnak a szervertermekben. Ezen túlmenően ide sorolhatjuk azokat az intézkedéseket, amik magához a szerverek elhelyezéséhez kapcsolódik, például, hogy azokat mindig földrengésbiztos és egyéb környezeti behatásoktól (árvíz, tornádó stb.) védett helyre telepítik.

A beépített adatvédelem körében vannak olyan megoldások, amik nem a szerverzési, hanem a technikai oldalra esnek, így ilyen például az álnevesítés. Az álnevesítés vagy pszeudonimizáció a személyes adatok körébe eső adatok esetében alkalmazott megoldás. Hivatalos definíciója szerint ez a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják. De mit is jelent ez pontosan? Azt, hogy egy adatot mesterséges azonosítókkal helyettesítünk, amely a külön tárolt további információval együtt mondja csak meg, hogy az adott azonosító mögött valójában milyen konkrét adat (személy) rejtőzik. Az álnevesítés nem keverendő össze a titkosítással. A titkosítás egy technikai intézkedés, ami egy általában valamilyen algoritmusra épülő rendszer útján az adatokat olyan formátumba alakítja át, hogy annak visszafejtése, csak egy “fordítókulcs” (tulajdonképpen jelszó) alkalmazásával lehetséges. 

Kezdetektől tudatosság

Az tehát, hogy hogyan tudjuk biztosítani az adatokhoz kapcsolódó “vagyonvédelmet” összetett és sok esetben bonyolult folyamat, illetve több területről igényel szakértelmet, ami nem feltétlenül van meg egy helyen. Ezért amit az elmondottakból tanulhatunk, az az, hogy akkor járunk (el) legjobban, ha már a kezdetektől “magunkba nézünk”, megértjük saját működésünk és céljainkat és az ezek alapján hozott  jól megalapozott döntések mentén építjük vállalkozásunkat. De hát ezért is vagytok itt a PARK-ban, nemde?