Elfelejtett jelszó: az e-mail-cím megfelelő azonosító adat adatkezelési szempontból?

Megosztás Tetszik

Eleget tesz-e a webshop a GDPR követelményeinek, ha vásárlójának egy egyszerű „elfelejtett jelszó" gombra kattintására válaszul minden más azonosító kérése és ellenőrzése nélkül küldi el az átmeneti jelszót, amellyel a vásárló saját fiókját eléri, és ott új jelszót tud létrehozni? Olvasói kérdésre dr. Kéri Ádám ügyvéd, compliance szakértő válaszolt.

A kérdés részletesen így szólt: Jelenleg üzemeltetett kereskedelemmel foglalkozó webshopban, amely kizárólag előzetes regisztrációval érhető el, a regisztráció során minden vásárló egyedi azonosítót kap, amelyet természetesen a későbbiekben ő saját maga használ minden ügyletnél, vásárlásnál és kommunikációnál egyaránt. A regisztráció alkalmával a saját maga által megadott e-mail-címmel és az általa létrehozott jelszóval tud később is belépni a saját fiókjába, ahol a vásárláshoz és más kommunikációhoz szükséges személyes adatai és többek között például az előző vásárlásainak adatai is megtalálhatók. Felkészülve arra, hogy a saját jelszavát elfelejtheti, a szigorú GDPR általános rendelkezései miatt, jelenleg úgy működik a rendszer, hogy ha valamely vásárló elfelejti a saját fiókjába történő belépéshez szükséges önmaga által adott jelszavát, az elfelejtett jelszó igényléshez plusz azonosításként be kell írnia a regisztrációkor kapott egyedi "ügyfélkódot" is, csak ezen élő ügyfélkód megadását és a rendszer általi ellenőrzését követően generálódik részére átmeneti belépési jelszót tartalmazó kiküldendő e-mail. Kérdésünk az, hogy biztonságosan eleget teszünk-e akkor is a GDPR követelményeinek, ha – más kereskedelmi webshopokhoz hasonló módon – egyszerű "elfelejtett jelszó" gomb megnyomására minden más azonosító kérése és ellenőrzése nélkül is megküldhető az e-mail-címére az úgynevezett átmeneti jelszó, amellyel saját fiókját eléri, és ott új jelszót tud létrehozni?

SZAKÉRTŐNK VÁLASZA:

Először is nagyon örülök, hogy az adatvédelem szempontjaival ténylegesen foglalkoznak, a kérdése jó! Nézzük, mit is ír elő a 2016/679. számú Általános Adatvédelmi Rendelet (GDPR):

24. cikk

Az adatkezelő feladatai

(1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

32. cikk

Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

a) a személyes adatok álnevesítését és titkosítását;

b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;

c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;

d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(2) A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

A 24., illetve a 32. cikk az 5. cikkben nevesített alapelvekkel együttesen szolgálnak a biztonsági követelmények mércéjéül. Az pedig, hogy a kockázatarányos intézkedés mit jelent a tényállás alapján, esetről esetre vizsgálva, a felügyeleti hatóságok esetjogából derül ki.

Az a megoldás, hogy egy egyszerű klikkeléssel jelzem, hogy a jelszót elfelejtettem és nem adok meg más személyes adatot kockázatot vet fel. Így ugyanis egy puszta e-mail alapján hozzáféréssel lehet rendelkezni az ügyfélfiókhoz. Az e-mail-cím önmagában nem megfelelő azonosító adat. Ezt a kockázatot nyilván azzal lehet csökkenteni, hogy az e-mail címet az elején (a regisztráció alkalmával) visszaigazoltatom (ez alapkövetelmény is). Ebben az esetben azonnal visszajelzést kapok arról, ha valaki a fiók adataiban változtatást kért. Ez tehát valamiféle garancia, de ezzel együtt úgy vélem, hogy nem biztosít kockázatarányos védelmet.

Itt a többfaktoros azonosítás jelentheti a védelmet, az ugyanakkor többlet személyes adat kezelésével jár (telefonszám). Erre tekintettel az olvasói kérdésben megfogalmazott eredeti javaslat egy köztes megoldást jelenthet, amellyel a vesenytársaikhoz képest gondosabban járnak el.

Az, hogy a konkrét esetben mit, hogyan értékel a felügyeleti hatóság, jellemzően adatvédelmi incidenssel összefüggésben derül ki. Szerencsétlenebb tényállás esetében elégtelen technikai és szervezési intézkedés miatt sok milliós adatvédelmi bírság is kiszabásra kerülhet. Én ezért az ügyfeleimet a szabályok fellazítására soha nem beszélném rá. Az ügyfélkódgyakorlatuk tehát jó.