hotline

Informatikai osztály hozzáférése a személyes adatokhoz a GDPR tükrében

Gyakori kérdésként merül fel, hogy:

“Ha meg akarunk felelni a GDPR-nek, akkor nem szabad lehetőséget adni arra, hogy az üzemeltető személyzet hozzáférjen az ügyfelek, felhasználók, stb. személyes adataihoz?”

A válasz nem egyszerű, ráadásul mint minden ilyen esetben kénytelenek vagyunk a szokásos jogi korlátozást elmondani: a TMSI Kft. alábbi véleménye semmilyen szempontból nem minősíthető jogi állásfoglalásnak vagy tanácsnak vagy hasonlónak, mivel a TMSI Kft. ilyen állásfoglalásra nem jogosult, jogi tanácsot nem adhat.
Az EU 2016/679 rendeletével kapcsolatos hatósági gyakorlat hiányában az alábbi véleményünk még szakmai tanácsként sem értelmezhető, így az alábbiak alkalmazásával kapcsolatos bármilyen felelősség a felhasználót, azaz Önöket terheli.
Fontos azt is kiemelni, hogy egy jövőben alkalmazandó jogszabályról beszélünk, tehát az alkalmazási gyakorlatáról sem nekünk, sem senki másnak nincs és nem is lehet semmilyen tapasztalata.

Kérjük a fentiek figyelembe vételével fogadják az alább megfogalmazott véleményünket:

A felhasználói (benne az üzemeltető személyzet) hozzáférés kérdését a céges szabályzatok kell hogy rendezzék, és csak a szervezet teljes működésének vizsgálata döntheti el egyértelműen az adatkezelés jogosságát! Ha a cég informatikai biztonsági, jogosultságkezelési, hozzáférési vagy egyéb szabályzata úgy rendelkezik, hogy az “üzemeltető személyzet” hozzáférhet személyes adatokhoz, és ez megfelel a cég üzleti folyamatainak/céljainak, akkor a hozzáférés jogos lehet. Ugyanakkor ez valóban komoly veszélyeket rejt magában. Mindenképpen korlátozni kell a hozzáféréseket az üzleti folyamatok szerint. Tehát a “szükséges mimimum” hozzáférési elvet kell támogatni, így kell szabályozni, beállítani és adott esetben egy ellenőrzés során ezt kell tudni igazolni. Azaz: ha az informatikai osztály alkalmazottai a cég működése szempontjából BIZONYOS személyes adatokhoz hozzá kell hogy férjenek (pl. helpdesk a felhasználók otthoni munkájának támogatásához), akkor azlehet indokolt és jogos. Az viszont semmiképpen nem támasztható alá, hogy ha pl. a rendszergazdák korlátlan hozzáféréssel bírnak a cég minden adatbázisához. Ennek különben egyéb kockázatai is vannak, és ezeket egy összeférhetetlenségi táblázatban ki is lehet mutatni.

A fenti kérdést is a hatósági és bírósági gyakorlat fogja majd évek alatt pontosítani. A GDPR kapcsán jelenleg még minden piaci szereplő többé-kevésbé a sötétben tapogatózik. Ugyanakkor ez természetesen nem lehet érv a felkészülés halasztására, késleltetésére. A pozitív hozzáállást, a tudatos felkészülést, tapasztalataink szerint eddig mindig, minden ellenőrzés értékelte.

Segíthetünk?

Mint általában minden komplex kérdéskörnek, ennek sincs egyszerű és gyors megoldása. Ugyanakkor nem is olyan bonyolult, ha a cégvezetés elkötelezett a megvalósítás mellett!

HA igen, akkor a TMSI Kft. segíthet, hiszen rendelkezünk a megfelelő tapasztalattal rendelkező szakemberekkel és a megfelelő jogászi támogatással akik ebben hatékonyan tudnak közreműködni.