A francia adatvédelmi hatóság („Commission nationale de l’informatique et des libertés”, „CNIL”) 2021. november 18-án ajánlásokat tett közzé a naplófájlok tárolására és naplózási rendszerek üzemeltetésére vonatkozóan (francia nyelven elérhető ITT).
A CNIL meghatározása szerint
a naplófájlok („data logs”) olyan rendszerek, amelyek biztosítják az információs rendszerekhez való hozzáférésre jogosult különböző felhasználók hozzáférései és információs rendszerben végzett tevékenységei (és így az e rendszerek által megvalósuló személyes adatok kezelése) nyomon követhetőségét.
I. Miért fontos a naplófájlok használata a GDPR alapján?
A naplófájlok használata a GDPR alábbi rendelkezéseinek való megfeleléshez szükséges:
GDPR 5. cikk – A személyes adatok kezelésére vonatkozó elvek:
- “A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).“
- Az adatkezelőnek “képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).“
GDPR 12-14. cikk – átlátható tájékoztatás az érintettek számára
A naplófájlok a GDPR 12-14. cikkében foglalt adatvédelmi tájékoztatási kötelezettség teljesítését is segítik, mert lehetővé teszik a személyes adatok továbbításának dokumentálását. Ez azért szükséges, hogy az adatkezelő a GDPR szerint az érintettek számára tájékoztatást tudjon nyújtani azon címzettekről vagy címzettek kategóriáiról, akikkel a rájuk vonatkozó adatokat közölték, valamint a címzettekkel közölt konkrét információkról.
GDPR 32. cikk – az adatkezelés biztonsága:
„Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket” végrehajtani annak érdekében, hogy „a kockázat mértékének megfelelő szintű adatbiztonságot garantálja”. (A GDPR 32. cikkében foglalt, megfelelő adatbiztonsági szint garantálása iránti követelmény adatkezelőre és adatfeldolgozóra egyaránt vonatkozik, a CNIL az ajánlásait kizárólag az adatkezelőknek címezte; ettől függetlenül a naplófájlok használatával kapcsolatos iránymutatások adatfeldolgozók számára is hasznosak lehetnek, mert az ő tevékenységük során is szükség lehet naplózásra – akár saját döntésük alapján, akár az adatkezelő utasításai alapján.)
II. A naplófájlok jogszerű tárolásával és használatával kapcsolatos feladatok
A CNIL ajánlásai alapján a naplófájlok jogszerű tárolásával és használatával kapcsolatban alapvetően 10 feladat van:
1. A kapcsolódó műveletek rögzítése és időbélyeg használata. Naplófájlok alkalmazása esetén rögzíteni kell a személyes adatok létrehozásának, lekérdezésének, módosításának és törlésének műveleteit, beleértve az egyedileg azonosított szerzőt (azaz aki a személyes adatot létrehozta), a végrehajtott művelet jellegét és a műveletben érintett adatokra utaló hivatkozását. A naplófájlokat létrehozásuk után azonnal időbélyegzővel kell ellátni.
2. Az adatok megkettőzésének kerülése. A naplófájlokban el kell kerülni a naplófájlban rögzített adatkezeléssel érintett adatok szükségtelen megkettőzését. Az eredeti, naplófájl által rögzített adatkezelés („fő adatkezelési művelet”) tárgyát képező személyes adatokról ugyanis bizonyos esetekben szükségképpen egy másolat rögzül a naplófájlban. Az adatkezelő így egy személyes adatot az eredeti megőrzési időnél hosszabb ideig tárol a naplófájlban. A CNIL szerint ez a legtöbb esetben elkerülhetetlen és elfogadható, ugyanakkor a megőrzési időszak meghosszabbítása a lehető legrövidebb időtartamra kell korlátozódjon. A naplófájlok megőrzése nem vezethet ahhoz, hogy az adatkezelők a fő adatkezelési művelethez kapcsolódó személyes adatokat túlzott ideig tárolják. Az adatokhoz való jogellenes hozzáférés esélye ugyanis az adatmegőrzési idő hosszával arányosan növekszik – minél tovább van jelen az adat egy rendszerben, annál nagyobb egy esetleges adatvédelmi incidens valószínűsége.
3. Elkülönített tárolás. A naplófájlokat a központi adattárolási rendszertől elkülönítve kell tárolni. Ennek egy megvalósítási módja lehet például a fizikailag különálló eszközök használata. A naplóadatokhoz való hozzáférési jogok megadását szigorú szükségességen alapuló egyedi engedélyezéshez kell kötni.
4. A naplófájlok javasolt megőrzési ideje hat hónap – egy év.
A CNIL ajánlása szerint a naplófájlok megőrzési ideje, amennyiben nem áll fenn eltérő időtartam megállapítására okot adó körülmény, alapvetően 6 hónap – 1 év. A CNIL elfogadja, hogy adott esetben ennél rövidebb, vagy hosszabb megőrzési idő is indokolt lehet, és ezekre az esetekre további javaslatokat fogalmaz meg:
Hat hónapnál rövidebb adatmegőrzési idő: A fő adatkezelési műveletből származó személyes adatokat nem javasolt megtartani a naplófájlokban, ehelyett javasolt azok pszeudonimizálása és csak álnevesített azonosítók megtartása. Ha ez nem lehetséges, automatikus naplótisztítási eljárásokat és eszközöket is be lehet vezetni, hogy a fő adatkezelési műveletből származó adatokat a naplófájl megőrzési ideje lejártakor eltávolítsák. (A CNIL érdekes módon ezt az álnevesítési kötelezettséget csak a 6 hónapnál rövidebb adattárolási időnél emeli ki, az 1 évnél hosszabb időnél nem.)
Egy évnél hosszabb megőrzési idő: Egyes adatkezelési műveletek sajátosságai indokolhatják a naplóadatok megőrzési időtartamának további meghosszabbítását. Ilyenkor sem javasolt azonban a három évet meghaladó megőrzési idő megállapítása.
Egy évnél hosszabb megőrzési idő indokolt például az alábbi esetekben:
- nyilvántartások megőrzésére vonatkozó jogi kötelezettség teljesítése,
- peres ügyek során annak bizonyítása, hogy a felek hozzáférhettek egyes dokumentumokhoz és beadványokhoz, vagy a GDPR-ban foglalt tájékoztatási kötelezettség (átláthatóság) és egyéb érintetti jogok érvényesítéséhez (pl. 20. cikk szerinti adathordozhatósághoz való jog való jog),
- elemzések végzése feltételezett vagy tényleges kibertámadások után, annak érekében, hogy az automatizált adatkezelő rendszerekben (pl. belső informatikai rendszerekben, hálózaton, szoftverek használatával kapcsolatban) a fenyegetéssel kapcsolatos ismereteket fejleszteni lehessen.
5. Kötelezettségek egy évnél hosszabb adatmegőrzési idő esetén:
- Adatvédelmi hatásvizsgálat készítése.
- A fő adatkezelési művelet érintettjeire vonatkozó adatokkal való visszaélés kockázata valós és létező kell legyen – ez indokolja a hosszabb adatmegőrzési időt. Ide tartozik különösen: GDPR 9. cikke szerinti különleges kategóriába tartozó személyes adatok kezelése, nagy mennyiségű („large scale”) személyes adat kezelése, vagy az érintett személyek rendszeres megfigyelése.
- Megfelelő dokumentációs eljárások rendszeres belső ellenőrzéshez, elemzéshez és vizsgálathoz, valamint visszaélések gyanúja vagy bejelentése esetére.
6. Riasztások generálására és kezelésére szolgáló folyamat kialakítása. A naplófájlok lényegében nyomonkövethetőséget segítő adatok, így „aktív” biztonsági célt szolgálnak: a naplófájl-adatok valós idejű vagy rövid távú felhasználásán alapul a rendellenes adatkezelési műveletek észlelése a kibertámadások és az adatvédelmi incidensek megelőzése érdekében. Javasolt ezért riasztások generálására és kezelésére szolgáló folyamat kialakítása, ha felmerül a rendellenes adatkezelés gyanúja. A naplófájlok „passzív” biztonsági célt is szolgálnak: már bekövetkezett adatvédelmi incidens esetén segítenek feltárni az incidens pontos körülményeit és okát.
7. Felhasználói szabályzat és figyelmeztető jelzések. Tilos a naplófájlban összegyűjtött adatokat eltérő célokra felhasználni. Technikai és szervezési intézkedéseket kell végrehajtani e kockázat csökkentése érdekében, például felhasználói szabályzat készítése a naplófájlokhoz hozzáférésre jogosult személyek részére, és figyelmeztető jelzés beállítása a naplófájladatokhoz való hozzáférés esetén. Az utóbbi jelzés hasznos lehet például jogosulatlan belépési kísérlet esetén, vagy azért, hogy egy egyébként jogosultsággal rendelkező felhasználó ne tudjon visszaélni a saját jogosultságával – indokolatlanul sokszor megnyitni/megnézni a logokat, másoknak betekintést engedni a saját belépési kódjaival stb.
8. A naplózás rögzítése az adatvédelmi tájékoztatóban. A naplózott adatkezelési műveleteket végző felhasználókat javasolt tájékoztatni a naplórendszer működéséről, az összegyűjtött adatok jellegéről, és az adatmegőrzés idejéről. Ez a tájékoztatás megvalósulhat a felhasználó első bejelentkezésekor, illetve hitelesítésekor vagy azt megelőzően elérhetővé tett adatkezelési tájékoztatóban.
9. A naplózás rögzítése az adatfeldolgozói megállapodásban. Ha a naplózást részben vagy teljesen a GDPR 28. cikke szerint igénybe vett adatfeldolgozó végzi, az adatfeldolgozói megállapodásnak tartalmaznia kell a naplózási kötelezettség szabályaira vonatkozó rendelkezést.
10. A naplózás rögzítése a belső adatkezelési nyilvántartásban. Az adatkezelési műveletek GDPR 30. cikke szerint kötelezően vezetett belső nyilvántartásban a naplófájlokkal kapcsolatos adatkezeléseket is fel kell tüntetni.