A NIS2-felkészülés és az elektronikus információs rendszerek biztonsági osztályba sorolása során az egyik leggyakrabban felmerülő kérdés a „nagy mennyiségű személyes adat” értelmezése. Sok szervezet itt megakad, mert ösztönösen egy konkrét számot keres: hány érintett, hány rekord, hány adatmező számít soknak. A jogszabályok azonban nem ebben a logikában működnek, és ez nem véletlen.
Sem a GDPR, sem a magyar kiberbiztonsági szabályozás nem ad egzakt definíciót arra, hogy mi minősül „nagy mennyiségű” személyes adatnak. Ez elsőre bizonytalanságot kelt, valójában azonban egy tudatos, kockázatalapú megközelítést tükröz. A hangsúly nem az adatmennyiségen, hanem azon van, hogy milyen következményekkel járhat egy adatbiztonsági incidens.
A 7/2024. (VI. 24.) MK rendelet az EIR-ek biztonsági osztályba sorolásánál a lehetséges káresemények súlyosságából indul ki. Az „alap”, „jelentős” és „magas” biztonsági osztály nem adatdarabszámokhoz kötődik, hanem ahhoz, hogy egy esemény csekély, közepes vagy nagy kárt okozhat-e. A „nagy mennyiségű személyes adat” ebben a rendszerben nem kizárólagos feltétel, hanem egy a több lehetséges kockázati tényező közül. Előfordulhat tehát, hogy egy rendszer akkor is magasabb biztonsági osztályba kerül, ha az adatállomány mérete önmagában nem tűnik jelentősnek, de más körülmények ezt indokolják.
Az európai adatvédelmi gyakorlat, különösen a WP29 iránymutatásai, tovább erősítik ezt a szemléletet. A „nagy mennyiség” mindig az adott adatkezelés kontextusában értelmezendő. Egy település egészét érintő adatkezelés, egy szervezeten belül minden munkavállalóra kiterjedő rendszer vagy egy országos adatbázishoz hozzáférést biztosító helyi informatikai megoldás könnyen a „nagy számban történő adatkezelés” körébe eshet, még akkor is, ha az adott szervezet nem kezel milliós nagyságrendű adatot.
Gyakori félreértés, hogy a „nagy mennyiség” kizárólag az érintettek számától függ. A gyakorlat azonban azt mutatja, hogy kevés érintett esetén is megvalósulhat ez a kritérium, ha egy érintettről nagyon sok, részletes vagy érzékeny adat áll rendelkezésre. Különösen igaz ez akkor, ha az adatok több forrásból származnak, vagy ha az adatkezelés profilozásra alkalmas. Az adatkezelés időtartama és állandó jellege szintén jelentősen növeli a kockázatot.
A NIS2-vel összefüggő besorolásoknál ezért nem érdemes „leminősítési” logikában gondolkodni. A cél nem az, hogy egy rendszer mindenáron alacsonyabb biztonsági osztályba kerüljön, hanem az, hogy a besorolás védhető, következetes és a valós kockázatokat tükröző legyen. A GDPR 32. cikke szerinti magas szintű technikai és szervezési intézkedések csökkentik ugyan a kockázatot, de nem szüntetik meg teljesen. Ha ezek betartása mellett is elképzelhető közepes vagy nagy káresemény, akkor a „nagy mennyiségű személyes adat” kockázata releváns marad.
A legfontosabb tanulság tehát az, hogy a „nagy mennyiségű személyes adat” nem matematikai, hanem kockázati kategória. A helyes megközelítés az összkép vizsgálata: az érintettek köre, az adatok jellege, az adatkezelés időtartama, földrajzi kiterjedése és a lehetséges következmények együtt határozzák meg, hogy egy elektronikus információs rendszer milyen biztonsági osztályba sorolandó. Ez a gondolkodásmód nemcsak jogilag stabilabb, hanem egy audit vagy hatósági ellenőrzés során is sokkal jobban megállja a helyét.
Készült a NIS2 Portal hivatalos forrása alapján.