Adatvédelem és információszabadság

Európai uniós szolgáltatókat preferál az adatvédelmi hatóság

európai uniós

A minap a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke felszólította Hadházy Ákost arra, hogy haladéktalanul törölje a „Csatlakozzunk az Európai Ügyészséghez!” elnevezésű kezdeményezéssel összefüggésben 2018. július 19. és 2019. május 30. között az érintettektől gyűjtött valamennyi személyes adatot, mivel azok gyűjtése a hatóság szerint érvényes jogalap nélkül történt.

Az adatgyűjtéssel kapcsolatos vizsgálat kiterjedt arra is, hogy az adatkezelő milyen harmadik országbeli szolgáltatásokat vesz igénybe. A megkeresésre adott válaszból kiderült, hogy Magyarországon kívül csak biztonságos és megfelelő szintű adatvédelemmel, illetve tanúsító mechanizmussal rendelkező harmadik ország GDPR kompatibilis szolgáltatásait vették igénybe (USA: EU-USA Privacy Shield, Kanada).

Az adatkezelő nyilatkozata szerint az általa gyűjtött személyes adatokat feldolgozás után táblázatos (.csv) formátumban a Mailchimp rendszerében tárolják, továbbá szintén táblázatos (.csv) formátumban biztonsági másolatokat tartanak a Sync.com-on. Erre tekintettel a vizsgálat kiterjedt ezekre a vállalkozásokra is.

Az internetes marketing szolgáltatások biztosításával a The Rocket Science Group LLC-t (Mailchimp) bízta meg az adatkezelő, és a NAIH-nak címzett válaszához mellékelte a Mailchimp-pel kötött megállapodásának részét képező, aláírásokat nem tartalmazó adatkezelési függelék másolatát. Az abban foglaltak szerint a Mailchimp e-mail szolgáltató, automatizálási és értékesítési platformot, illetve egyéb kapcsolódó szolgáltatásokat biztosít.

Az adatkezelő az Adatkezelési tájékoztató szerint továbbá adatfeldolgozóként veszi igénybe a Sync.com Inc.-t (Sync.com) is. Az adatkezelő által csatolt, a kettejük között létrejött – 2019. június 27-i keltezésű – GDPR-adatkezelési függelék másolatában foglaltak szerint a Sync.com Inc. által végzett adatkezelés kizárólag fióklétesítéskor keletkező személyes információkat és egyéb kapcsolattartási adatokat, illetve a szolgáltatás során biztosított személyes és titkosított adatokat foglal magában.

A tájékoztató szerint átadáskor a személyes adatokat és az Adatkezelő által átadott egyéb adatokat az SSL/TLS alkalmazásával titkosítják. A Sync.com Inc. emellett nem kezel titkosítás nélkül fájladatokat, fájlmetaadatokat, titkosítási kulcsokat vagy jelszavakat, hacsak az adatkezelő nem utasítja arra. Az adatkezelő titkosított adatai mindig végpontok közötti titkosítást alkalmaznak, és úgy vannak tárolva, hogy a Sync.com Inc. ne férhessen hozzájuk olvasható formátumban, illetve ne tudja megosztani azokat harmadik felekkel.

Az adatkezelő által igénybe vett, külföldön bejegyzett adatfeldolgozókkal kapcsolatban a hatóság végül azt állapította meg, hogy ezen külföldi társaságok (Mailchimp, Sync.com) által nyújtott szolgáltatásokkal kapcsolatban – a honlapjukon lévő többféle biztonsági/titkosítási eljárást részletező leírás alapján –

adatbiztonsági hiányosság nem merült fel.

Ennek ellenére a hatóság megjegyezte, „hogy harmadik országban letelepedett cégek által nyújtott szolgáltatások (többek között a személyes adatok felvételére, tárolására, rendszerezésére, valamint felhasználására történő) igénybe vétele – különösen politikai véleményre utaló személyes adatok kezelésével összefüggésben – nagyobb adatvédelmi kockázatot jelent, ezért a Hatóság azt tartja jó gyakorlatnak, ha az adatkezelés során elsődlegesen a hasonló szolgáltatásokat nyújtó európai uniós cégeket választják, csökkentve ezáltal az adatvédelmi kockázatokat.”

Mindez azért különösen fontos, mert a Mailchimp rendkívül népszerű és ismert Magyarországon is, továbbá annak ellenére javasolja európai szolgáltató igénybevételét az adatvédelmi hatóság, hogy az amerikai szolgáltatóknál semmilyen tényleges adatbiztonsági hiányosságot nem tapasztalt, ráadásul az EU-USA Privacy Shield is kiterjedhet rájuk. Ez a megközelítés pedig érdekes fénybe helyezi azon szakmai vélekedéseket, akik szerint a GDPR globális standarddá és hatékony védelemmé válik majd.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

Ajánlott tartalom