Egy hajóban evezünk, együtt sírunk és nevetünk, egy család vagyunk – hangzik el a céges meetingeken, de ez nem azt jelenti, hogy tényleg mindenünket meg kell osztanunk a munkáltatónkkal. Bár a felhasználók adatkezelési tudatossága javul, még mindig sokan nem tudják, meddig mehet el a munkáltató az alkalmazottainak adataival kapcsolatban – miközben minden dolgozónak arra is oda kell figyelnie, hogy a vállalat adatai biztonságban maradjanak. A 2024-től esedékes NIS2 irányelvről adatvédelmi és jogi szakértőt kérdeztünk.
Ma már szép világ van a munkavállaló és a munkáltató közötti viszonyban. Szabad döntésről van szó, két fél megállapodásáról, ahol az egyik fizetést és juttatásokat kínál a másiknak, aki ezért meghatározott jellegű, mennyiségű és minőségű munkát vállal. Tiszta ügy, de még mindig nem teljesen világos. Olyan világban élünk ugyanis, ahol az anyagi erőforrások mellett az adataink számítanak a legfontosabb vagyonunknak, ezért ezek megosztását nem árt kordában tartani, eközben viszont a világon mindenki minél több mindent szeretne tudni rólunk – így a munkáltatónk is.
"Jól emlékszem gyerekkoromból arra a Szerencsekerék-adásra, amiben az egyik versenyző nem volt hajlandó elárulni a teljes nevét, mondván, ő bizony nem köteles az adatait csak úgy kiadni bárkinek. Az önérzetes játékos az akkori adatvédelmi törvényre hivatkozással megkövetelte, hogy őt kizárólag a keresztnevén szólítsák" – kezdte szemléletes példával Dr. Balczer Balázs, a 4iG Nyrt. senior jogtanácsosa.
"Akkoriban még talán furcsának is hatott az efféle titkolózás, de a mai világban, ahol közösségi médiában, felhő alapú rendszerekben kering minden, amit valaha is megosztunk magunkról, tényleg oda kell figyelni, milyen adataink és hová juthatnak el."
Amikor néhány éve életbe lépett az Európai Unió Általános Adatvédelmi Rendelete, közkeletű rövidítéssel a GDPR, ismét fokozottabb figyelem irányult, egyrészt az adatkezelőkre és annak szabályozására, hogy milyen információkat hogyan tárolhatnak és mire használhatnak, másrészt még fontosabbá vált a felhasználói tudatosság kiterjesztése is. Tudjuk például, hogy magunktól nem adjuk ki másoknak a netbankos belépéshez szükséges jelszavunkat, a mobilunk feloldókódját vagy az otthoni riasztó kikapcsolásához szükséges számsort. Bonyolultabb kérdés azonban, hogy személyes adataink közül mit vagyunk kötelesek megosztani a munkahelyünkkel – főleg akkor, ha ezt elvileg a céges adatok biztonsága érdekében kérik.
Az adatvédelmi tudatosság további aktualitása a 2024-től életbe lépő – szintén EU-s kezdeményezés alapján kidolgozott – NIS 2 irányelv, amely a 2016-os előzményét felváltva már jóval nagyobb számú közép- és nagyvállalat számára ír elő a kibervédelemmel kapcsolatos kötelező óvintézkedéseket és protokollokat. A korábbi irányelv főként a digitális szektorban működő vállalatokra vonatkozott, ez a kör azonban több fontos szektor képviselőivel bővül az energiaipartól a pénzügyi, egészségügyi és közlekedési ágazatokon át az élelmiszeriparig és gépgyártásig. Az irányelv már csak egy formális jóváhagyásra vár, majd pedig szűk két év alatt kell a tagállamok mindegyikében bevezetni, tehát minden vállalkozás „sűrű” időszakra számíthat az új rendszer szerinti felkészülésben.
Nézzünk akkor át kicsit a másik oldalra, avagy gyorsan világítsuk meg, miért is kellene a lehető legtöbbet tudnia rólunk a cégnek, aminek dolgozunk. Ahogy nekünk, úgy a szervezeteknek is az adatvagyona az egyik legféltettebb kincse. Ugyanúgy szenzitív információnak számítanak az ügyfelek adatai, a pénzügyekkel kapcsolatos információk, a belső folyamatok, a vállalati tudásbázis, és persze itt is létezik több tucatnyi jelszó, hozzáférési protokoll és egyéb biztonsági kulcs. Ha ezek bárhogy kiszivárognak, az indirekt károkat okozhat a versenytársak jogszerűtlen előnyszerzésétől a presztízsveszteségig, és persze olyan közvetlen veszteségekre is számítani lehet, mint a vállalati számlák megcsapolása, adatok törlése és kritikus üzleti folyamatok szabotálása.
Amióta léteznek vállalati informatikai megoldások, azóta védeni is kell ezeket, manapság ráadásul már nem csak házon belüli rendszerek léteznek, hanem sokféle adat kering privát és publikus felhőszolgáltatásokban, levelezésben, csoportmunka-eszközökben. A járványidőszak alatt megnőtt a távmunka jelentősége is, aminek eredményeképpen egyre többen érnek el kritikus céges erőforrásokat távolról, ami szintén sebezhetőségi pontot jelent. Az IT-biztonság folyamatos kezelése tehát elengedhetetlen, és ez már nem csak a gépek és szoftverek védelmét jelenti.
"Az informatikai biztonsági törekvéseknek alapvetően három pillérét lehet megkülönböztetni. Természetesen az alapot a műszaki pontok védelme jelenti, tehát a belső szerverek, a felhő alapú megoldások folyamatos monitorozása, a vírusok és egyéb kártevők detektálása, a hackerek ellen felhúzott tűzfalak, de ez csak a kezdet" – magyarázta Vaspöri Ferenc, az Invitech ICT Services IT-biztonsági szolgáltatások vezetője. "Az, hogy van egy működő infrastruktúránk és biztonsági rendszerünk, mit sem ér, ha a munkavállalók nem kellően tájékozottak a működéssel, veszélyekkel és a sérülékenységekkel kapcsolatban.
Ezért fontos a két másik pillér: egyrészt a belső szabályozás ismerete az infrastruktúra biztonságos használatáról, másrészt minden felhasználó naprakész képzése az információbiztonság kérdéskörében."
Kérdezhetnénk persze, mit árthat egyetlen alkalmazott, ha a vállalati rendszereket drága és kiterjedt biztonsági megoldások védik. Nos, sokat. Néhány éve a Twittert törték fel sikeresen, méghozzá a "humán faktort" kihasználva: mint később kiderült, a cég alkalmazottainak küldött megtévesztő, illetve zsaroló üzeneteknek köszönhetően szereztek meg a támadók fontos jelszavakat és belső információkat. Az adathalász levelek már régóta ismert, mégis még mindig működőképes csalási formának számítanak, és azóta megjelentek olyan új mutációk, mint a személyiséglopás. Ilyenkor például a főnökünk nevében küldött levélben küldenek utasítást arra, hogy sürgősen utaljunk át egy bizonyos összeget egy adott számlaszámra, ami természetesen bűnözőkhöz tartozik. Ráadásul manapság érkeznek hírek arról, hogy a minden téren felkapott mesterséges intelligenciát az egyre szervezettebb és felkészültebb csalók sikeresen használják akár telefonos megtévesztésre is.
"Az egyik leggyengébb láncszem tehát még a legerősebb biztonsági környezetben is maga az ember. Úgy kell elképzelni mindezt, mintha az ellenséges haderő előtt felhúznánk egy vastag falakkal, csapdákkal és védművekkel felszerelt erődítményt, de nem mondanánk meg a várvédőknek, hogy tilos kinyitni a kifelé vezető kisajtót" – példálózott Vaspöri Ferenc.
Itt érkezik el tehát egy látszólag nehezen összebékíthető ellentét. A munkavállalónak értelemszerűen egy sor személyes adata szent, ellenben a munkáltató saját érdekében minél többet szeretne tudni minden dolgozójáról éppen a fenti esetek elkerülése érdekében. Például használja-e valaki a munkahelyi számítógépét, mobilját, e-mail címét személyes célokra is? A munkavállaló szempontjából egy privát levél elküldése személyes dolog, de eközben biztonsági rizikót is jelent a vállalatnak, hiszen elég egy óvatlanul a levélben felejtett bizalmas információ, jelszó vagy hivatkozás, máris észrevétlenül "kinyitottunk egy kisajtót".
A jelszó a tudatosság.
A felhasználónak tisztában kell lennie azzal, milyen adatokat és hogyan kezelhet a munkahelyén és melyekhez nincs köze a munkáltatónak. Mindeközben a vállalatnak biztosítania kell azokat a szabályozási és képzési lépéseket, amelyekkel egyrészt egyértelműsítik, milyen adatnak milyen jelentősége van és hogyan kell őket kezelni, másrészt segítenek abban, hogy ezeket a szabályokat a munkavállalók megértsék és be is tudják tartani.
A munkavállalók oldaláról mindenképpen érdemes annak utánanézni, mi számít személyes és különleges adatnak. "A jogszabály kimondja, hogy személyes adat minden, ami természetes személyekhez egyértelműen köthető, tehát nem csak a nevem, címem, anyám neve és az adószámom, hanem akár az e-mail címünk vagy egy biztonsági kamera rólunk készült felvétele is. A különleges adat a személyes adatoknak az a köre, mely például a származásunkra, politikai véleményünkre, vallási hovatartozásunkra, nemi irányultságunkra vonatkozó információkra vonatkozik" – sorolja Dr. Balczer Balázs. "Különleges adatokat is kezelhet persze a munkáltató, hiszen bizonyos munkakörökkel együtt járhat egészségügyi alkalmassági vizsgálat, ahogy azt is figyelhetik, milyen egészségbiztosítónak, szakszervezetnek utalnak át a nevünkben díjakat. Az adatkezelésnek azonban mindig a munkaviszonnyal összefüggésben kell állnia, tehát a munkáltató kizárólag a célhoz kötötten kezelhet adatokat. Az adatkezelésről a munkavállalót kötelező írásban tájékoztatni, amelyet jó esetben a munkavállaló elolvas és tudomásul vesz."
A munkavállalóknak érdemes folyamatosan tájékozódni, hogy az adatok közül mit és milyen mélységig kezelhet a munkaadó. Már nem elég általános hozzájárulást kérni a munkavállalótól. "Az adatvédelmi gyakorlat egységes abban, hogy a munkavállaló hozzájárulásának önkéntességét fenntartásokkal kezeli. Másként fogalmazva, az adatkezelés jogszerűségének igazolásához édeskevés az, ha a munkaadó a dolgozó hozzájárulására hivatkozik olyan adatkezelés kapcsán, mely kizárólag a munkáltató érdeke" – hangsúlyozta Dr. Balczer Balázs. "A Munka törvénykönyve kifejezetten úgy rendelkezik, hogy a munkáltató csak olyan személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése szempontjából lényeges. Nincs akadálya tehát például annak, hogy a munkáltató a munkavállaló étkezési szokásaira vonatkozó adatot kezeljen, de az ilyen adatokat – mivel a munkaviszony szempontjából lényegtelen – csak a dolgozó kifejezett hozzájárulása alapján lehet kezelni."
Hasonlóan fontos szabály a törvényben az, hogy a munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, akár technikai eszközzel is, feltéve, hogy erről a munkavállaló előzetesen írásban tájékoztatást kap.
Nem mindegy, hogyan tájékoztatja a munkaadó az alkalmazottakat a kapcsolódó szabályokról és folyamatokról. Vaspöri Ferenc szerint nem elég egy belső szabályozás megalkotása, hiszen ez még nem garantálja, hogy a dolgozók valóban változtatnak a viselkedésükön, ezért gyakorlati tapasztalatok átadására, hatékony oktatásra van szükség. "Az oktatási tananyag nem lehet száraz, hanem játékos, feladatorientált képzésre van szükség, ami mennyisége miatt nem befolyásolja érdemben negatívan a munkavégzést. Azt szoktuk tanácsolni, hogy ne évente egy PowerPoint-prezentációt küldjünk szét, hanem havonta egy rövid, 5-10 perces tananyagot biztosítsunk, ráadásul olyan nyelvezettel, amelyhez nem kell feltétlenül IT-biztonsági szakértőnek lenni. Sokat segít, ha alkalmazzuk a gamification módszerét, tehát a tanulást egyfajta játékossággal, megszerezhető jutalmakkal kötjük össze, amely megkönnyíti a befogadást. Munkáltatóként arra kell törekedünk, hogy a munkavállalókat előre felkészítsük, mindezt számukra befogadható módon. Ha a tanultakat a privát életükben is alkalmazzák, akkor jó eséllyel a céges környezetben is felelősségtudatosabban viselkednek majd.”
Munkavállalóként, magánszemélyként tehát érdemes tisztában lenni azzal, hogy mindenkinek részletesen meghatározott adatvédelmi jogai vannak: tájékoztatást kell kapnunk, hogy milyen alapon kezelik az adatainkat, sőt, azokba bele is tekinthetünk, másolatot is kérhetünk róluk. Fontos, hogy tiltakozhatunk a személyes adataink kezelése ellen, kérhetjük az adataink törlését és helyesbítését is. Végső megoldásként pedig minden dolgozó számára biztosított a hatósághoz, illetve bírósághoz fordulás joga. Emellett viszont azt is tudnunk kell, hogy milyen szabályok vonatkoznak ránk a munkáltatónál végzett tevékenységünkhöz kapcsolódóan. Ez a két terület néha látszólag ellentmondásban áll, ezért szükséges a mindenre kiterjedő vállalati szabályzat létrehozása és annak hatékony kommunikációja, oktatása, amely sikeres esetben egyszerre szolgálja mindkét felet.