A dán adatvédelmi hatóság (Datatilsynet) egy nagyon érdekes, kritikus infrastruktúra üzemeltetését érintő ügyben kifejezetten a JavaScript programozási nyelvvel kapcsolatos adatvédelmi kérdéseket vizsgálta. Tekintettel arra, hogy a JavaScript-et számos magyarországi weboldal is használhatja, a hatóság megállapításai minden adatkezelő szervezet számára hasznosak lehetnek. Az ügy legfontosabb tanulsága, hogy függetlenül attól, hogy a GDPR (ha nem kötelező az adatvédelmi hatásvizsgálat) nem tartalmaz specifikus kötelezettséget a kockázatok dokumentálásával, illetve külön az érintettek jogaira és szabadságaira vonatkozó kockázatértékeléssel kapcsolatban, az „elszámoltathatóság” elvének való megfelelés érdekében érdemes ilyen értékelést készíteni.
Az ügy háttere
A vonatkozó ügyben a hatóság a kormányzati szervezetek és más közintézmények digitális szolgáltatásainak és informatikai rendszereinek fejlesztéséért, koordinálásáért és támogatásáért felelős dán Digitalizációs Ügynökségnek (Digitaliseringsstyrelsens) az úgynevezett „MitID” azonosítási rendszerrel kapcsolatos gyakorlatát ellenőrizte. A MitID lehetővé teszi a felhasználók számára, hogy a különböző online szolgáltatásokhoz egy egységes azonosító segítségével férjenek hozzá – például az állami intézmények weboldalaihoz, banki szolgáltatásokhoz és egyéb digitális platformokhoz. A bejelentkezési kliens megjelenítéséhez a MitID JavaScript-et használ – a felhasználóknak ezért engedélyezniük kell a JavaScript-et a böngészőjükben, ha használni akarják a MitID-t.
A hatósághoz érkezett panasz szerint a JavaScript elavult, nem biztonságos, és a JavaScript-et használó telefonok és számítógépek könnyen feltörhetők.
Az adatkezelő által tett intézkedések
Az Ügynökség mint adatkezelő az eljárás során az alábbiakról tájékoztatta a hatóságot:
- Az Ügynökség beszállítója a Javascript-re vonatkozó biztonsági intézkedéseket korábban (2013-ban) a „nemID” elnevezésű elektronikus azonosító és hitelesítő rendszerrel kapcsolatban már vizsgálta, és nem talált problémát annak biztonsági szintjével kapcsolatban.
- A MitID kockázatértékelése során az ügynökség ettől függetlenül azonosította a vonatkozó kockázatokat, beleértve a felhasznált kód (így a JavaScript) minőségével kapcsolatos általános kockázatokat is. Az érintett személyek adatvédelmi jogait érintő kockázatokat ugyanakkor nem értékelték külön.
- Az adatkezelés során adatfeldolgozóként eljáró Nets nevű szervezettel szemben az Ügynökség számos szerződéses követelményt támasztott:
- A Nets köteles folyamatosan értékelni a MitID-megoldást annak biztosítása érdekében, hogy mindenkor megfelelő szintű biztonsággal rendelkezzen, továbbá köteles folyamatosan elvégezni a szükséges javításokat, ha sebezhetőségek merülnek fel.
- A MitID-vel kapcsolatban végzett adatkezelésről (beleértve az információbiztonságra vonatkozó követelményeknek való megfelelést is) a Nets köteles “ISAE 3000 DK, type I (eller tilsvarende revisionsrapport)” típusú audit jelentést készíteni.
Az adatvédelmi hatóság megállapításai
A hatóság az Ügynökség által tett intézkedéseket nem találta megfelelőnek, és megállapította, hogy az Ügynökség nem felelt meg a GDPR alábbi rendelkezéseinek:
- Az „integritás és bizalmas jelleg” elve.
- Az „elszámoltathatóság” elve.
- A GDPR cikk (1) és a GDPR 32. cikk által előírt adatbiztonsági intézkedések fenntartása.
. A hatóság az ügyben az alábbi specifikus megállapításokat tette:
- Annak érdekében, hogy az adatvédelmi hatóság értékelni tudja az adatbiztonság megfelelő szintjét, az adatkezelő köteles dokumentálni az általa azonosított kockázatokat és a kockázatok csökkentése érdekében hozott intézkedéseket.
- A JavaScript-nek a MitID-hez hasonló kritikus infrastruktúrával kapcsolatos használatának előfeltétele, hogy az adatkezelő külön kockázatértékelést végezzen, ha ismert, hogy a technológia használata biztonsági kockázatokat rejthet magában. A JavaScript használatával összefüggő visszaélésekkel kapcsolatos nyilvánosan hozzáférhető információkat figyelembe kellett volna venni.
- A hatóság által talált fő hiányosság, hogy az Ügynökség (i) a konkrét JavaScript technológia használatával összefüggésben nem végzett külön az érintettek jogaira és szabadságaira vonatkozó kockázatértékelést; és (ii) nem vezetett be megfelelő technikai biztonsági intézkedéseket az érintetteknek a fenti kockázatokkal szembeni védelme érdekében. A hatóság azt is kiemelte, hogy nem elegendő egy több évvel ezelőtti értékelésre hivatkozni, ahol egy másik megoldás (ebben az esetben a NemID) kapcsán ugyanazt a technológiát használták.