A GDPR és az elfogadható tagadás elve

Minden viccnek a fele igaz

gdpr.png

Az elfogadható (vagy hihető) tagadás (plausable deniability) elve évszázadok, évezredek óta is létezett, de talán a TrueCrypt titkosított konténerekkel együtt épült be a szakmai köztudatba. Az elv abból indul ki, hogy ha tudsz valamit, amiről hihetően letagadod, hogy tudod, akkor a másik fél szempontjából valójában nem tudod.

Ez persze nagyon pongyola értelmezése az elvnek, de nincs kedvem hosszas filozófiai vitákba keveredni. Persze a bölcsészvér felserken bennem és kikívánkozik belőlem, hogy hasonlatos ez a régi bölcsész-művészettörténész vitához, ahol azon megy a vita, hogy ha Pompeiben megalkotják a világtörténelem legtökéletesebb, abszolút értelembe vett legszebb műtárgyát, amelyet aztán belepett és örök időkre ellepett a vulkáni törmelék, akkor valójában a legtökéletesebb szépség létezik-e, ha senki nem tud róla. Kicsit hasonlatos Schrödinger macskájához, aki egyszerre élő vagy holt, attól függően, hogy kinyitjuk-e a dobozt vagy sem.

Számos esetben a GDPR megfelelőség(?!) leghatékonyabb módja, ha az elfogadható tagadás elvét alkalmazzuk. Az egyik adatvédelmi fórumon indult útjára egy vita, amely szerintem jól példázza, hogy mikor és hogyan kell az elfogadható tagadást alkalmazni – nyakatekert, menedzselhetetlen és mindenképpen költséges megoldások helyett.

Nézzünk ezekre néhány példát.

Kilépett munkavállaló adatainak megőrzése

Sok esetben bevett gyakorlat, hogy a kilépett munkavállaló levelezését, munkaállomásán tárolt adatait, vagy a szerverekre mentett adatait learchiválják, és meglehetősen hosszan megőrzik. Ennek oka, hogy akár évek múlva is előkerülhetnek olyan ügyek, amely miatt szükséges lehet előszedni ezeket az adatokat, valamiféle vizsgálathoz, ügyrendezéshez, stb. információt gyűjteni.

A GDPR nemigen tolerálja ezt, hiszen a felhasználó adatai között lehetnek személyes adatok, személyes dokumentumok stb. Szóval GDPR-szerűen a távozáskor együtt kéne átnézni a tárolt adatokat, kitörölgetni azt, amely mondjuk nem céges, és csak azt megőrizni, amely biztosan céges adat. Ez borzasztóan időrabló (ergó költséges), és néha nehezen megvalósítható történet, ezért a gyakorlat az, hogy mindent learchiválunk, aztán ha kell, akkor majd előszedjük és használjuk az adatokat.

Ilyen esetben javasolt az elfogadható tagadást alkalmazni: ha valaki megkérdezi, hogy jár el ilyen esetben a szervezet, azt kell mondani, hogy nem őrizzük meg a kilépett munkavállalók anyagait. A tényleges gyakorlat viszont az lesz, hogy a kimentett adatokat a rendszertől függetlenül egy offline (és hogy azért jó legyen) titkosított diszken eltároljuk mondjuk a nagyfőnök páncélszekrényében. Ott fog szépen gyűlni az online rendszerektől függetlenül a távozott munkavállalók adatairól készült mentés – ugyan ki tudná ezt ellenőrizni?

(advanced mód, amikor a vezetők nem akarnak tudni és emiatt nem is tudnak arról, hogy az IT így gyűjti az adatokat, ez talán a leghihetőbb tagadás: a felső vezetés tényleg nem tud róla, az IT meg nem beszél és ha mégis valaki megkérdezi, akkor letagadja).

Ugyanez érvényes a mentésekre, archívumokra is. A GDPR alapján ugye indokolatlan késedelem nélkül kellene kérésre az érdekelt adatait törölni, az önmagában is probléma, hát még ha arra gondolunk, hogy mentésekből, éves archívumokból meg eleve nemigen lehet törölni.

Sok megoldás létezik, de a legegyszerűbb az, ha elfogadjuk, a mentésekből előbb-utóbb (ciklusa válogatja) úgy is eltűnnek az adatok, az archiválással kapcsolatban pedig ki kell jelenteni: mi nem archiválunk semmit (kivéve, ha törvényi előírás van rá, de az meg ugye más tészta), és az archivumokat a rendszertől és folyamatoktól függetlenül offline tároljuk.

Néhány további gyakorlat:

– Kedves Cég, Önök monitorozzák, és ellenőrzik a munkavállalók böngészését és Internet használatát?

– Mi soha nem csinálunk ilyet!

– Kedves Cég, Önök ellenőrzik a munkavállalók levelezését?

– Mi soha nem csinálunk ilyet!

– Kedves Cég, Önök ellenőrzik az állásra pályázók közösségi média tevékenységét?

– Mi soha nem csinálunk ilyet!

– Kedves Cég, Önök ellenőrzik a munkavállalók közösségi média tevékenységét?

– Mi soha nem csinálunk ilyet!

– Kedves Cég, Önök ellenőrzik az egyébként magáncélra is használható mobilkészülékek híváslistáit?

– Mi soha nem csinálunk ilyet!

– Kedves Cég, Önök ellenőrzik a céges, de magánútra is használható személyautók GPS adatait?

– Mi soha nem csinálunk ilyet!

Az elfogadható, vagy hihető tagadáson nagyon nehéz megbukni, és jellemzően akkor lehet megbukni, ha valaki fecseg (megbocsáthatatlan bűn!). Ezért, ha valaki ilyen elvet alkalmaz, gondoskodnia kell arról, hogy csak a legszűkebb (és legmegbízhatóbb) kör tudjon a valós folyamatokról.

Sok helyen a felső vezetés el is várja az elfogadható vagy hihető tagadás alkalmazását, ezt egy okos középvezető tudja és fel is ismeri a nagyfőnökök „Nem akarok tudni róla” kijelentéseiből és úgy intézi, hogy valóban ne is tudjanak róla, hiszen csak ebben az esetben tudja a vezetés hihetően és elfogadhatóan letagadni a dolgokat.

Szintén fontos kérdés, hogy mire és hogyan használjuk fel az így gyűjtött, tárolt adatokat? A hazai joggyakorlat megengedi az illegálisan/nem törvényesen gyűjtött bizonyítékok felhasználását bírósági eljárásokban – ha egyébként a bizonyítékot másképpen nem, vagy csak nagyon nehezen tudtad volna megszerezni.

Azonban azt figyelembe kell venni, hogy ilyen esetekben a másik fél szintén peres eljárást kezdeményezhet, attól függetlenül, hogy az első perben mondjuk a bizonyítékaid miatt elmarasztalják, hiszen jogszerűtlenül gyűjtöttél róla adatokat. Szóval ilyen esetekben is mérlegelni kell, hogyan és mire használod fel az elfogadható vagy hihető tagadás palástja mögött gyűjtött, tárolt, kezelt adatokat.

Hol nem működik a plausable deniability elve?

Nem tudom ki, hogy van vele, de nálunk a feleségem esetében az elv alkalmazására semmi esélyem 🙂

Egyébként, ha valamire van ésszerű, alkalmazható megoldás – amelynek költségvonzatát is elviseli a szervezet, hát javasolt azt a megoldást választani, nem pedig az elfogadható vagy hihető tagadás mögé rejteni a folyamatokat. Ha a szabályozás költsége és bonyolultsága kevesebb kockázattal jár, akkor tessék tényleges megoldást bevezetni.

– Kedves Cég, Önök alkalmazzák a plausable deniability elvét?

– Mi soha nem csinálunk ilyet!

 

Forrás: http://kiber.blog.hu