Mit is jelent az adatvédelem és az adatbiztonság? Rendszergazdaként első sorban arra gondolunk, hogy tűzfal, titkosítás, biztonsági mentés és a többi. Azonban gyakran elfelejtjük, hogy az adatvédelmet és az adatbiztonságot jogi szempontból is értelmezni kell.
Az adatvédelem a jogászok számára egy picit mást jelent. "Az adatvédelmi jog azon jogszabályok összessége, amelyek meghatározott személyekkel összefüggésbe hozható adatok (személyes adatok) kezelésének rendjére adnak előírásokat." - írja Dr. Jóri András a jogi fórumon.
Jelzem az elején, hogy ez a post nem kíván teljes körű válaszokat adni minden kérdésben, inkább csak vitaindítóként szolgál és kérdéseket vet fel.
Cégvezetőként és rendszergazdaként
Fontos, hogy a rendszergazda ismerje a személyes adatok védelmére vonatkozó jogszabályi előírásokat, és a redszerüzemeltetés során betartsa azokat. Ezzel súlyos jogi következményektől kímélheti meg magát és a céget egyaránt. Cégvezetőként oda kell figyeljünk erre és rendszeresen ellenőriznünk is kell, hogy a jogszabályok be legyenek tartva - munkáltatói felelősség...
Pár dolog, amit érdemes nyomon követnünk:
- naplózások mértéke
- a napló fájlok megőrzési ideje
- az archíválás módja, az archívumok tárolási módja
- kik férhetnek hozzá a naplókhoz és az archívumokhoz?
- milyen adatokat naplózunk és archíválunk?
- történik-e valamilyen jellegű feldolgozás, statisztika a naplók alapján? ezek a statisztikák hogyan befolyásolják a működést (pl: egy munkavállaló megítését)?
Munkavállalóként
Az Alkotmánybíróság így fogalmazott: "Megalázó az olyan helyzet, és lehetetlenné teszi a szabad döntést, amelyben az egyik fél nem tudhatja, hogy partnere milyen információkkal rendelkezik róla."
Ezért felvételikor, vagy új megoldások bevezetésekor a cégvezetőnek kötelessége tájékoztatni a munkavállalókat az őket érintő biztonsági kérdésekről, így pl a naplózásokról, vagy távoli elérést biztosító eszközök használatáról is.
Kérdés: van-e joga egy munkavállalónak a céges gépen és céges interneten / telefonon magán életet élni? Másrészt megfigyelés nélkül hogyan állapítható meg, hogy történik-e ilyen jellegű visszaélés a cég tulajdonával?
Titkosítás és terrorizmus elleni védelem
A terrorizmus elleni védelem szlogenjével sok szolgáltatót kényszerítenek arra - már ha kell őket kényszeríteni -, hogy naplózzák az ügyfeleik tevékenységét (lásd: mobil szolgáltatók, internet szolgáltatók) és szükség esetén a szerveknek hozzáférést biztosítsanak azokhoz.
Ennek megfelelően a felhasználók egyre szélesebb köre kezd el használni titkosított kapcsolaton keresztül kommunikáló eszközöket. Ezek elvileg feltörhetetlenek, vagy igen nagy kapacitás szükséges a feltörésükhöz, így a felhasználók nagy része dől hátra nyugodtan, hogy ezzel megoldotta a problémát.
Azonban a bűnözők is használnak internetet és számukra is rendelkezésre állnak ezek az eszközök.
Kérdés: megoldható-e a bűnözők és az átlag polgárok megkülönböztetése megfigyelés nélkül? Ha a terroristáktól való félelem jegyében figyelnek meg mindenkit, van-e értelme egyáltalán adatvédelemről beszélni?
Jogszabályok
- Alkotmány 59. § (1) bekezdése
- Személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény
- Egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésérol szóló 1997. évi XLVII. törvény.
- A rendőrségről szóló 1994. évi XXXIV. törvény.
- A hitelintézetekről és pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény.
A fentieken túl számos egyéb jogszabály is tartalmaz a személyes adatok védelmére vonatkozó szabályokat.