Céges adatbázisok a neten – Ki a felelős, ha személyes adatok szivárognak ki a világhálóra?
Céges adatbázisok a neten – Ki a felelős, ha személyes adatok szivárognak ki a világhálóra?
Az elmúlt hónapban számos hírportál cikkezett egy fejvadász vállalkozást érintő adatszivárgási incidensről. A beszámolók arról szólnak, hogy a toborzócég adatbázisa egy időre nyilvánosan elérhetővé vált, ezáltal pedig az abban található személyes adatok és a potenciális munkavállalókkal kapcsolatos belsős megjegyzések is. Az adatbázis hozzáférhetőségére egy közösségi oldalon közzétett bejegyzésben hívta fel a figyelmet egy szemfüles munkakereső, aki – elmondása szerint – saját e-mail címére keresve talált rá az adatbázisra, amelyben az ő adatai is szerepeltek. Az adatbázis állítólag tartalmazta az érintettek nevét, e-mail címét, telefonszámát, valamint szakmai ismereteikre vonatkozó információkat is. Ami azonban adatkezelési szempontból különösen „pikánssá” teszi a történetet, hogy az adott jelölthöz fűzött, teljesen szubjektív megjegyzések is láthatók voltak.
Az Általános Adatvédelmi Rendelet – vagy közismertebb nevén GDPR – szabályai lassan 7 éve alkalmazandók hazánkban, ennek ellenére sok cég továbbra is adós maradt az adatvédelmi megfelelőségének alapos és teljes körű kialakításával. Az interneten elérhető sablonok tárháza végeláthatatlan és sokan letudják azzal az adatkezeléssel és adatvédelemmel kapcsolatos teendőiket, hogy változatlan formában, vagy minimális „személyre szabással” feltöltenek honlapjuk „Adatkezelési Tájékoztató” menüpontja alá egy mintadokumentumot. A munka oroszlánrésze azonban a színfalak mögött zajlik; ahhoz, hogy egy cég a GDPR szabályaival összhangban tudjon működni elsősorban az szükséges, hogy tisztában legyen saját tevékenységével és azzal, hogy milyen személyes adatok, miért vannak a birtokában. Vitathatatlan, hogy ez költség-és időigényes feladat, ugyanakkor meg is térül, hiszen egy gondosan átgondolt adatkezelési folyamat a cég működését megkönnyítheti, nem is beszélve az adatkezelési és adatvédelmi kockázatok – ideértve a bírságot is – csökkentéséről.
Különbség van természetesen olyan cégek között, amelyek elvétve találkoznak működésük során személyes adattal, illetve amelyek tevékenységének központi eleme a személyes adat. A toborzással foglalkozó vállalkozások az utóbbi kategóriába tartoznak, hiszen számukra a legnagyobb értéket a potenciális munkavállalók és az ő személyes adataik képezik. A bevezetőben szereplő toborzó iroda honlapja ugyan már nem elérhető, azonban a témában született írások említést tesznek arról, hogy a cég weboldalára részletes adatkezelési tájékoztató feltöltésére nem került sor, csupán egy adatvédelemmel is foglalkozó menüpont alatt ejtettek néhány szót – többek között – az adatok bizalmasan való kezeléséről, a diszkrécióról, valamint a jogosulatlan felhasználás megakadályozásáról. Azon túl, hogy ez a törekvés láthatóan nem sikerült, az is aggályos, – ahogy arra már fentebb felhívtuk a figyelmet – hogy az adatkezeléssel kapcsolatos tájékoztatásra túl generálisan, feltehetően egy blanketta alkalmazásával került sor. A GDPR ugyanis kimondja, hogy az érintetteket (vagyis ez esetben a munkakeresőket) tájékoztatni kell – egyebek mellett – az adatkezelés céljáról és jogalapjáról, címzettekről (akiknek továbbításra kerülnek vagy kerülhetnek az adatok), illetve arról is, hogy meddig tervezi a cég megőrizni ezeket az információkat. Amennyiben az adatkezelő a tájékoztatási kötelezettségének nem tesz eleget az már önmagában is hibás gyakorlat és egy esetleges hatósági ellenőrzés eredményeképpen akár adatvédelmi bírságot is vonhat maga után.
A jelen ügy központjában azonban egy adatvédelmi incidens áll és végső soron ez az, ami rámutatott a cég hibás és hiányos adatkezelési gyakorlatára is, példának okáért a megfelelő tájékoztatás elmaradására. Jogosan merülhet fel a kérdés, hogy mi is az az adatvédelmi incidens és mit tehet – vagy kell tennie – egy cégnek, ha megtörtént a baj. A GDPR meghatározása szerint adatvédelmi incidensnek a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak. Hazánkban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el a felügyeleti hatóság szerepét, vagyis a NAIH az a közfeladatot ellátó szerv, amelynek a bejelentést meg kell tenni. A bejelentésnek legalább tartalmaznia kell az incidens jellegét, az incidensben érintett személyek és személyes adatok kategóriáját és hozzávetőleges számát, a kapcsolattartó (vagy adatvédelmi tisztviselő) nevét és elérhetőségét, az incidensből eredő következményeket, valamint ismertetni kell az adatkezelő által az incidens orvoslására tett vagy tervezett intézkedéseket is. Kétségtelen, hogy ez a határidő karcsú és az sem számít, ha péntek délután szerez tudomást az adatkezelő egy incidensről, a bejelentést ugyanis a 72 órás határidőben meg kell tenni. A késedelmet ugyan lehet igazolni, de annak elfogadása már a NAIH értékelésén múlik. A bejelentési kötelezettség alól pusztán egyetlen kivételt nevez meg a GDPR, mégpedig azt, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve.
A fejvadász cégnél bekövetkezett adatszivárgás ún. bizalmassági incidensnek minősül, ugyanis a személyes adatok véletlen vagy felhatalmazás nélküli közlése, vagy még inkább az ezekhez való (jogosulatlan) hozzáférés valósult meg. Bár arról pontos információ nem áll rendelkezésre, hogy hány munkakereső volt érintett az ügyben, azonban az eset a közösségi oldalon közzétett bejegyzés nyomán a nagy nyilvánosság előtt ismertté vált, – így olyanok is rákereshettek az adatbázisra, akik nem voltak érintettek – továbbá az említett megjegyzések is napvilágot láttak, így az ügy feltehetően magas kockázati besorolásúnak minősül. Ez egyúttal azt is jelenti, hogy a toborzócég nem „menthetné ki” magát a bejelentési kötelezettség alól.
Az ügy kapcsán egyébként a fejvadász-iroda is megszólalt; nyilatkozatukban előadták, hogy a cég még 2022-ben egy külsős fejlesztőt bízott meg egy saját vállalatirányítási rendszer programozására, azonban a programozó nemcsak a vállalkozás rendszerébe, hanem egy külső tárhelyszolgáltatónál lévő szerverre is feltöltötte a személyes adatokat. Saját vizsgálódásuk szerint a hibát kizárólag a fejlesztő – nem szándékos – magatartása okozta és házon belül senkinek nem volt tudomása a helyzetről. Megjegyezzük, hogy a nevezett fejlesztő „státusza” a GDPR logikája szerint valószínűsíthetően adatfeldolgozó volt. Az adatfeldolgozó lényegében egy megbízottnak tekinthető, aki a megbízó (vagyis az adatkezelő) utasításai szerint köteles eljárni. Az adatkezelő és az adatfeldolgozó közötti kapcsolatot az ún. adatfeldolgozói szerződés szabályozza, amely a felek közötti relációban telepíthet ugyan felelősséget az adatfeldolgozóra, azonban harmadik személyek irányába (vagyis mindenki más irányába, aki nem az adatkezelő vagy az adatfeldolgozó) az adatkezelő tartozik felelősséggel, máshogy fogalmazva: „nem viheti el a balhét” az adatfeldolgozó.
Az incidens bekövetkezte, valamint az arról való tudomásszerzés időpontja természetesen elválhatnak egymástól, az viszont álláspontunk szerint valószínűsíthető, hogy a poszt világhálóra való kikerülésekor már ismert volt a cég számára is, hogy megtörtént a baj, ugyanakkor a közlemény szerint a „szivárgás” csak ezt követően jutott az adatkezelő tudomására. A bejelentés mindenesetre megtörtént, – legalábbis a nyilatkozatban foglaltak szerint – azt viszont nem fejtették ki, hogy erre a GDPR-ban megszabott határidőn belül került-e sor vagy sem. A határidő esetleges elmulasztása azonban a kisebb probléma, ugyanis – ahogy azt a cég is elismerte – a nyilvánosságra került adatbázisban a személyes adatok mellett „etikailag is kifogásolható” megjegyzések szerepeltek. A kommenteket az adott toborzó munkatárs fűzte az érintett jelölthöz, amelyek – a megjegyzések idézését mellőzve – túlnyomórészt durvák, személyeskedők és sértők voltak, továbbá megvalósíthatják a személyiségi jogsértést vagy akár egyenlő bánásmód megsértését is (pl. idősebb jelölt „kizárása” a toborzási folyamatból életkora miatt). Aggályos az is, hogy egy a személyes adatainak törlését kérő munkakereső adatainak törlésére nem került sor, csupán az adattörlésre vonatkozó kérelem szerepelt a megjegyzésben, azzal, hogy „ne hívjuk”.
Az ügy részletes kivizsgálása a NAIH feladata lesz, így várnunk kell még a határozatra és a potenciális jogkövetkezményekre is; kétségtelen azonban, hogy súlyos bizalomvesztést és reputációs veszteséget szenvedett el a cég, amelyből kérdéses, hogy fel tud-e egyáltalán állni.
Mivel a sajtóban nagy port kavart a hír, ezért feltételezhetően számos toborzással foglalkozó vállalkozás a fejéhez kapott, hogy vajon ők helyesen járnak-e el a napi ügymenet során. A „Jobb később, mint soha” mondás itt is érvényes; ha hibás a működés, jobb azt még most helyrehozni, mint homokba dugni a fejünket és úgy várni a bajt. De mit is kell tennie egy toborzó cégnek, ha „jól akarja csinálni”? Stabil adatkezelési gyakorlatot kell kialakítani, amely választ ad arra, hogy milyen adatokat, mi célból és jogalapon, meddig kezel a vállalkozás. Ha ez megvan, akkor jöhet minden „adminisztratív” teendő is, vagyis az adatkezelési tájékoztató elkészítése, esetleg egy belső kézikönyv, amely a munkatársaknak nyújthat segítséget, illetve minden olyan dokumentum vagy megoldás, ami kiegészíti és támogatja az adatkezelési folyamatot. A toborzással összefüggő adatkezelés jellemzően az érintett hozzájárulásán alapul, így azt is be kell szerezni és dokumentálni, ha pedig utóbb a hozzájárulás visszavonására kerülne sor, akkor ténylegesen törölni kell a rendelkezésre bocsátott információkat. Amennyiben az adatkezelés során további szolgáltatót, esetleg adatfeldolgozót venne igénybe az adatkezelő, akkor az ő felelőssége az, hogy az adatbiztonsági intézkedések betartását „kikényszerítse”, vagy azok kapcsán megfelelő garanciákat igényeljen. Ami pedig a személyes megjegyzéseket illeti; egy toborzó szakember a munkája során elkerülhetetlenül találkozik olyan jelölttel, aki nem szimpatikus a számára, vagy nem találja megfelelőnek a pozícióra. Ilyenkor bőven elegendő, ha a benyomásokat mellőzve, egyszerűen csak nem veszi számításba az adott álláshely kapcsán a jelentkezőt.
Az ügy tanulsága főként az, hogy az adatvédelmi megfelelőség elmulasztása nemcsak az adatvédelmi bírság kockázatát vonhatja maga után, hanem komoly presztízsveszteséget okozhat, különösen a mai világban, ahol rekordsebességgel terjednek az információk. Az adatvédelmi bírság megfizetése pedig csak egy dolog, de ha az egész vállalkozás lehúzhatja a rolót egy ilyen incidens miatt, akkor hosszú évek munkája veszik kárba, ezt pedig felesleges megkockáztatni, azért, hogy megspóroljunk néhány munkaórát az adatvédelmi megfelelőség oltárán.