Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) által bevezetett adatvédelmi követelmények mérföldkőnek minősülnek a pénzügyi intézmények kockázatkezelési keretrendszerének működtetésében. A Magyar Nemzeti Bank belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról szóló 27/2018 (XII. 10.) számú ajánlása megfelelőségi kockázatként kezeli, hogy a pénzügyi szervezetnél alkalmazott gyakorlatok összhangban álljanak a titok- és adatvédelmi követelményekkel (így üzleti-, bank-, értékpapír-, pénztár-, fizetési-, foglalkoztatói nyugdíj- és biztosítási titok, személyes adatok védelmével).
A GDPR követelményei közül elsősorban az elszámoltathatóság elve az, amely a magasabb bírságok kiszabásának lehetőségével együtt az adatvédelmet a magasabb megfelelőségi kockázatok közé emelte. Ugyanis ha az adatkezelő nem képes igazolni azt, hogy az üzleti gyakorlata megfelel az adatvédelmi jogszabályoknak, azaz az általános adatvédelmi elvek nincsenek konkrét, az adatkezelő szintjén meghatározott politikákra és eljárásokra lefordítva, akkor jogsértés gyanúja esetén az adatvédelmi hatóság és bíróság megállapítja az adatkezelő felelősségét az adatvédelmi, adatbiztonsági szabályoknak való megfelelésért. Figyelemmel kell lenni azonban arra, hogy a GDPR hatálya mire terjed ki és ez mennyiben van átfedésben a pénzügyi intézmény által kezelt egyéb adatkörökkel, azaz első lépésként meg kell határozni, hogy mely tevékenységek és területek tartoznak és mely területek nem tartoznak a GDPR hatálya alá. Ez amiatt is különösen fontos, mert bár a pénzintézeti szektor részletesen szabályozott, ugyanakkor az adatbiztonsági, információbiztonsági szabályok az egyes adatkörök tekintetében nincsenek teljes átfedésben egymással.
Az adatvédelmi követelmények teljesülését és az elszámoltathatóság elvét pedig a szervezet működési és biztonsági kockázataival kapcsolatos, a Hpt. valamint a kapcsolódó Kormány Rendeletek, illetve MNB ajánlásokban megfogalmazott biztonsági intézkedéseknek is tükrözniük szükséges. Az elszámoltathatóság elve alapján elvárható, hogy a biztonsági intézkedések tekintetében a szervezet adatvédelmi programja különösen átfogja:
- az üzleti és adatvédelmi compliance célokat egyaránt lefedő adatvédelmi stratégia, valamint a kapcsolódó szabályzati keretrendszer kialakítását;
- az adatvédelmi tisztviselő kinevezésének indokoltságát igazoló dokumentáció elkészítését, a függetlenségét, valamint a belső hatáskörét garantáló normatív előírásokat;
- a biztonsági intézkedésekkel kapcsolatos adatvédelmi jellegű kockázatok azonosítását, ezen kockázatok elemzését, mérését, nyomon követését, kezelését (csökkentését) és rendszeres felsővezetői jelentését;
- a biztonsági intézkedések szükségesség és arányosság elvének megfelelő, a szervezet kockázati étvágyának megfelelő megválasztását és dokumentálását, oly módon, hogy az egyes biztonsági intézkedések (alkalmazott technológiák és az eljárások) hatékony végrehajtását biztosítsa, valamint összhangban legyen a szervezet egyéb területei által kezelt kockázatokkal kapcsolatos kockázati étvágy szintjével;
- a biztonsági intézkedések alkalmazási feltételeivel kapcsolatos adatkezelési jogalapok alkalmazását, illetve szükség esetén a jogos érdek tesztek elvégzése és azok megfelelő dokumentálását (pl. munkavállalói e-mailek megfigyelése, vagy egy internetbank webes alkalmazás penetrációs tesztjének a végrehajtása);
- a beépített és alapértelmezett adatvédelem elvének megfelelő technikai és szervezési intézkedések bevezetését és végrehajtását, különösen a belső projekt módszertanban, az informatikai és termékfejlesztési folyamatokban, a marketing tevékenységekkel összefüggésben;
- az ilyen intézkedésekkel kapcsolatos adatvédelmi hatásvizsgálatok elvégzését - mivel az adatvédelmi hatásvizsgálatok az alapértelmezett és beépített adatvédelem gyakorlati, kézzelfogható megnyilvánulásának egy formája;
- a biztonsági intézkedések érintettek jogaira és szabadságaira nézve valószínűsíthető kockázatai miatt adatkezelési tevékenységek nyilvántartásának ilyen intézkedésekre vonatkozó elkészítését;
- a biztonsági intézkedésekkel kapcsolatosan kiszervezett tevékenységet végzők kiválasztásának, igénybe vételének, ellenőrzésének, felügyeletének, és a kiszervezés megszüntetésének kezelését és szabályozását, összhangban az MNB 2/2017. (I. 12.) számú és 27/2018. (XII. 10.) ajánlásaival;
- a kiszervezett tevékenységeken túlmutatóan az adatfeldolgozók kiválasztását, kockázati értékelését, kockázati szintjének nyomon követését, valamint ezen kockázati szintnek megfelelő gyakoriságú auditálását;
- esetleges adatvédelmi incidensek kezelését, összhangban az informatikai és információbiztonsági incidenskezelési folyamatokkal, különös figyelemmel, a kríziskommunikációval kapcsolatos MNB és NAIH elvárásokra és bejelentési kötelezettségekre;
- az adatvédelem, mint önálló jogi és információbiztonsági terület beépítését az éves belső ellenőrzési audit tervbe, illetve az adatvédelmi kockázatok megjelenítése az audit univerzumban, akár a működési, információbiztonsági, akár a jogi- és compliance kockázatok részeként;
- az egyes biztonsági intézkedések hatékonyságával és szükségességével kapcsolatban a visszacsatolást az adatvédelmi terület felé;
A fentiek nem jelentenek tételes listát a megteendő intézkedések vonatkozásában, ezért az elszámoltathatóság elvének való megfelelés érdekében biztosítani szükséges azt is, hogy
- valamennyi működési és biztonsági kockázataival kapcsolatos biztonsági intézkedés alkalmazására kiterjedjen az adatvédelmi alapelvek alkalmazása,
- ezen követelmények érvényesítése a belső politikák, belső szabályzatok, eljárásrendek, ügyrendek részét képezze;
- a biztonsági intézkedés alkalmazása tekintetében követett legfontosabb gyakorlatok előre és egyértelműen rögzítettek legyenek;
- ezek rendszeresen felülvizsgálatra és a visszacsatolás alapján fejlesztésre kerüljenek.
Mivel az MNB ajánlásai és állásfoglalásai - bár azokat az MNB az ellenőrzési és monitoring tevékenysége során figyelemmel kíséri és értékeli - nem minősülnek jogszabálynak, azonban kötelező erővel nem rendelkező szabályozó eszközök. Ezért az ilyen szabályozási eszközökben megfogalmazott, biztonsági intézkedésekkel kapcsolatos követelmények (bevezetés, végrehajtás és ellenőrzés) csak akkor alkalmazhatóak személyes adatok kezelésére, ha valamely intézkedés alkalmazását jogszabály teszi kötelezővé (pénzmosás-ellenőrzés és ügyleti kapcsolat figyelemmel kísérése) vagy azok valamely olyan jogos érdek teljesítéséhez szükségesek, amelyekkel szemben nem élveznek elsőbbséget az érintett érdekei.
Ez egyben azt is jelenti, hogy az adatvédelmi megfelelési követelmények és a szabályozási követelményeknek való megfelelés között konfliktus merülhet fel. Ilyen esetekben pedig kockázatértékelés alapján szükséges eldöntetni és ezt a döntést dokumentáltan megindokolni, adott esetben az adatvédelmi tisztviselő véleményének kikérésével, hogy miért döntött a szervezet a biztonsági intézkedés alkalmazása mellett és melyek azok a kényszerű érdekek, melyek a személyes adatok kezelését is magában foglaló intézkedések alkalmazását szükségessé és elkerülhetetlenné teszik. Ez pedig abban jelent paradigmaváltást, hogy a complaince területen nem elengedő csupán az érintettek hozzájárulására támaszkodni, hanem további adminisztratív intézkedések útján szükséges megteremteni a biztonsági intézkedések alkalmazásának adatvédelmi és MNB elvárásoknak megfelelő gyakorlatát.
Ha bővebb ismereteket szeretne kapni ebből a témakörből, jöjjön el Vállalati compliance hatékony működtetése vagy Képesített bankbiztonsági specialista képzésünkre!
A szerző ezúton is köszöni szépen dr. Bereczki Tamás, CISM, CRISC, CIPP/E, ügyvéd (Baker McKenzie) értékes megjegyzéseit a jelen cikkhez.