Forrás: https://gdpr.blog.hu/2019/03/04/email_titkositas#more14590802
Az adatvédelmi megfelelés során az egyik legnagyobb kihívás, hogy az általános elveket és szabályokat konkrét intézkedésekre, napi rutinokra és követelményekre fordítsuk le. Mennyi és milyen adat szükséges egy adott cél eléréséhez? Hogyan szerezhetjük be a szükséges hozzájárulást? Milyen módon adható tájékoztatás egy konkrét adatkezelési tevékenységgel kapcsolatban? Hogyan szabályozzuk meghatározott adatkörökhöz való hozzáférést? Milyen módon kell a személyes adatokat is tartalmazó emaileket védeni?
A gyakorlatban számos a fentiekhez hasonló kérdés merül fel, és a megfelelő adatvédelmi szint elérése során kiemelten fontos feladat, hogy a személyes adatok kezelésének teljes folyamatához illeszkedően megtaláljuk a megfelelő védelmi intézkedéseket, amelyek az egyes adatkezelési műveletekhez igazodóan, a kockázatokkal arányosan képesek biztosítani az adatok megfelelő védelmét. Az alábbi posztban az emailek titkosításának a kérdését járjuk körül.
Az email használatának egyre szélesebb elterjedtségének köszönhetően sokakat érintő kérdés lehet az adatok védelmének kérdése email útján történő továbbításuk során. Milyen intézkedésekkel védhetők ilyenkor az adatok? Meddig terjed az adatkezelő és adatfeldolgozó felelőssége? Mit mérlegelhetünk a megfelelő technikai és szervezési intézkedések kiválasztása során?
Milyen konkrét adatbiztonsági intézkedéseket vár el a GDPR?
A GDPR az adatbiztonság körében – tekintettel a Rendelet technológia semleges megközelítésére is – nem tartalmaz konkrét, kötelező előírásokat arra vonatkozóan, hogy pontosan milyen intézkedéseket kell végrehajtani. A GDPR alapelvi szinten rögzíti az integritás és bizalmas jelleg elvét, amely azt az elvárást támasztja az adatkezelőkkel szemben, hogy garantálják a személyes adatok biztonságát és az adatokat megóvják az incidensektől, beleértve többek között a jogosulatlan hozzáférést és az adatok elvesztését. A GDPR által az adatbiztonsággal szemben támasztott elvárásoknak való megfeleléshez nagy segítséget nyújthat, ha a beépített és alapértelmezett adatvédelem elveinek megfelelően kerül megtervezésre és kialakításra az egész adatkezelési folyamat.
A GDPR az általános elvárásokon túl azért ad néhány konkrét kapaszkodót, amelyek alkalmasak lehetnek az adatbiztonsági követelmények teljesítésére (lásd különösen a GDPR 32. cikkét). Ezek között – az álnevesítés mellett – több helyen is megjelenik a titkosítás, mint ajánlott adatbiztonsági intézkedés.
A GDPR Preambuluma is rögzíti (lásd a 83. bekezdést):
A biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében az adatkezelő vagy az adatfeldolgozó értékeli az adatkezelés természetéből fakadó kockázatokat, és az e kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz.
Hogyan alakul a titkosítással kapcsolatos gyakorlat?
Dániában kötelező az email titkosítás. Korábban a dán adatvédelmi hatóság (Datatilsynet) ajánlása alapján javasolt volt a titkosítás alkalmazása a személyes adatokat is tartalmazó emailek küldése során, 2018. nyarán a dán hatóság bejelentette, hogy a jövőben a megfelelő adatbiztonsági intézkedések körében elvárt a titkosítás is. 2019. január 1-től kezdődően – tehát 6 hónap felkészülési időt követően – kerül sor az új követelmények kikényszerítésére. A titkosítás módjára vonatkozóan nem kerültek meghatározásra részletes követelmények.
Észak-Rajna-Vesztfália Adatvédelmi és Információszabadság Hatósága (LDI NRW) a közelmúltban tett közzé egy állásfoglalást az emailek küldéséhez kapcsolódó technikai intézkedésekkel kapcsolatban. A hatóság rögzíti, hogy mind az email tartalma, mind a metaadatok tartalmazhatnak személyes adatokat.
Az LDI NRW által kiadott állásfoglalás vizsgálja a tartalmi és az email üzenetek átvitelt közben titkosításának a lehetőségét. A tartalmi titkosítás védi az email tartalmát és a mellékleteit, ugyanakkor a metaadatok védelmére nem terjed ki. Az alkalmazott megoldások között említi a hatóság e körben a S / MIME (Secure / Multipurpose Internet Mail Extensions) és az OpenPGP (Pretty Good Privacy) standardok. (Egy 2018-as tanulmány részletesen elemzi ezek sérülékenységét.) A titkosítás a küldő oldalán történik meg és a címzettnél kerül sor a feloldására. A másik alapvető lehetőség az emailek átvitel során történő titkosítása (TLS).
Észak-Rajna-Vesztfáliában az alábbi alapvető elvárásoknak kell eleget tenni az email titkosítás kapcsán:
- Legalább az átvitel során történő titkosításról gondoskodni kell (figyelemmel a Német Szövetségi Információbiztonsági Hivatal „BSI TR-03108 Secure E-Mail Transport” ajánlására).
- A küldött adatok jellege és a kapcsolódó kockázatok alapján lehetséges eltérni a fenti ajánlástól (figyelemmel kell arra lenni, hogy az átvitel során történő titkosítás esetén az email szervereken titkosítás nélkül érhető el az email szövege). Érzékenyebb vagy különleges adatok esetében (pl. egészségügyi adatok, pénzügyi vagy jogi eljárásokra vonatkozó adatok) az átvitel során alkalmazott titkosítás nem mindig elegendő, további szervezeti és technikai intézkedések szükségesek (pl. e2e, azaz tartalmi titkosítás).
- A levél tárgy mezője ne tartalmazzon személyes adatot.
Magyarországon, az emailek titkosításával kapcsolatos kérdések a NAIH gyakorlatában is megjelentek.
Egy 2018-as állásfoglalás kapcsán az a kérdés merült fel, hogy a GDPR titkosítást érintő rendelkezései fényében, „a személyes adatok e-mail útján történő továbbításához megfelelő megoldás-e, ha az e-mailhez való hozzáférés egy vagy több, titkosított kapcsolaton keresztül történik (és a szerverek valamennyi biztonsági előírásnak megfelelnek); ha pedig az nem megfelelő, helyette elfogadható-e a jelszóval védett tömörített formátumú fájlban történő adattovábbítás.” Egyértelmű iránymutatás nem szerepel ugyan az állásfoglalásban, mivel a NAIH rendelkezésére álló információk nem voltak elégségesek a hatósági álláspont kialakítására. A Hatóság hivatkozik a GDPR 24. és 32. cikkeire, mint amelyek az adatbiztonság kapcsán a kiindulópontot jelentik, ugyanakkor felhívj a figyelmet arra is, hogy „az adatkezelő kötelezettségei szélesebb körűek, mint amit önmagában az adatbiztonsági intézkedések jelentenek, a rendeletnek megfelelő adatkezelés kialakításához számos más előírás teljesítése is szükséges.” Nem elégséges tehát csak a biztonsági intézkedésekre koncentrálni, azokat az egyéb kötelezettségekkel (pl. megfelelő tájékoztatás) és alapelvekkel (pl. adattakarékosság, célhoz kötöttség) összefüggésben kell alkalmazni.
Egy korábbi, 2016-os ajánlásban részletesebben is foglalkozott a NAIH az e-mailes adattovábbítás biztonsági kérdéseivel. Az adott ügyben egy bank „informatikai rendszere bizonyos online szolgáltatásokhoz (internetbank, online befektetési rendszer) kapcsolódóan az ügyfelek külső e-mail címeire nem titkosított csatornán keresztül küldi el az értesítéseket, amelyek sokszor érzékeny személyes adatokat is tartalmaznak (pl. átutalási adatok, bankkártya száma, befektetési tranzakciók adatai).” Még az Infotv. alapján készült ajánlásban a Hatóság – többek között – rögzíti az alábbiakat:
- az adatkezelő kötelessége az, hogy megfelelő technikai intézkedésekkel is védje a személyes adatokat kezelésük, így jelen ügyben azok külső elektronikus levelezési címre történő továbbítása során a jogosulatlan hozzáférés ellen,
- az adatkezelőnek az adatbiztonság megtartása érdekében mindent meg kell tennie saját részéről a személyes adatok biztonságának garantálása érdekében a számára elérhető és tőle elvárhatóan alkalmazható technikai megoldások keretei között,
- nem mentesülhet az adatkezelő a személyes adatok biztonságos továbbításának követelménye alól arra való hivatkozással, hogy ha a fogadó oldali email szolgáltató nem képes titkosított levél fogadására, akkor az üzenetek titkosítatlanul érnek célba,
- az adatkezelő nem hivatkozhat általánosságban a másik adatkezelőknél esetlegesen fennálló technikai hiányosságra.
A titkosítás kapcsán, érdemes lehet áttekinteni az ENISA 2016-os véleményét is (ez nem csak az emailek titkosítását vizsgálja, hanem annál tágabb kört vizsgál), amely átfogó képet ad az alapvető elvárásokról.