Megrendelés

Szőke Gergely László PhD[1]: Értesítési kötelezettség az adatvédelmi incidensek esetén - elméleti és gyakorlati kérdések* (JURA, 2017/1., 140-153. o.)

1. Bevezető gondolatok

1.1 Alapvetés

A technológia fejlődése által indukált társadalmi változások továbbra is jelentősek. A "Big Data" ("Nagy Adathalmaz") jelenséget joggal tekinthetjük a múlt század 60-as, 70-es éveiben elkezdődött információs forradalom újabb hullámának. A "Big Data" központi kérdése, hogy miként oldható meg a hatalmas mennyiségű (és folyamatosan bővülő), strukturáltságában, megjelenési formájában és megbízhatóságban is igen sokféle adatmennyiség gyors (valós idejű) és viszonylag pontos elemzése. A nagy adathalmazokban rejlő lehetőségek kiaknázása rendkívüli üzleti lehetőségeket és jelentős össztársadalmi előnyöket rejt magában.[1] Úgy tűnik tehát, hogy a következő évtized legalább annyi újdonságot, és egyben a magánszférára leselkedő potenciális új veszélyt is hoz, mint amennyit az elmúlt évtizedekben láthattunk e téren.

Ugyancsak egyre fontosabb kérdéssé válik az adatok tényleges, fizikai értelemben vett védelme (adatbiztonság), és az adatbiztonsági követelmények szabályozása, amely tulajdonképpen megfelelő technikai és szervezési intézkedések megtételét várja el az adatkezelőktől. Kétségtelen, hogy az elmúlt évek nagy adatszivárgási vagy adatvesztési botrányai - köszönhetően a sajtó aktív közreműködésének is - elérték az átlagos felhasználók tömegeinek ingerküszöbét is. Amikor a legnagyobb online szolgáltatók (pl. a LinkedIn vagy a Twitter) arra hívják fel többmillió felhasználójuk figyelmét, hogy változtassák meg jelszavukat, mert azok illetéktelen személyek kezébe kerülhettek, különösen, ha ez olyan "érzékeny" oldalak felhasználóit is érinti, mint a diszkrét (és sokak számára minden bizonnyal házasságon kívüli) kalandokat ígérő Ashley Madison,[2] vagy arról lehet hallani, hogy a jogosulatlan hozzáférés a legnagyobb pénzintézeteket vagy a kormányzati szerveket is érinti,[3] akkor az adatbiztonsági incidens valami távoli, elvont, és még mindig némi romantikával fűszerezett hackeraktivitásból[4] egyszeriben tömegek hétköznapi élményévé válik.

A magánszférát érő kihívásokra a társadalmak világszerte az adatvédelmi szabályozás megerősítésével, szigorításával és az adatbiztonsági kérdések előtérbe helyezésével reagáltak. E folyamat legszembetűnőbb eredménye az Európai Unió Tanácsa és az Európai Parlament által 2016-ban elfogadott általános adatvédelmi rendelet,[5] amely a korábbiakhoz képest jóval szigorúbb szabályokat és szankciókat, és hatékonyabbnak ígérkező felügyeleti rendszert hoz elsősorban az EU tagállamaiban működő, de bizonyos esetekben azon kívüli adatkezelők számára is.[6]

1.2 Az adatvédelmi incidensek bejelentési kötelezettsége

Az adatvédelmi szabályozás európai megerősödése számos új elv (például az elszámoltathatóság elve, a beépített adatvédelem elve stb.) jogszabályi megjelenését és egészen új, korábban az adatvédelmi jogban ismeretlen jogintézményt is hozott - utóbbira jó példa az adatvédelmi hatásvizsgálat (Privacy Impact Assessment, PIA), vagy az adatvédelmi incidenssel kapcsolatos értesítési kötelezettség (Data Breach Notification).

Az adatvédelmi incidensek bejelentési kötelezettsége elsőre egyszerűnek tűnő jogintézmény, amelynek lényege, hogy az adatkezelő személy vagy szervezet a személyes adatokat ért adatvédelmi/adatbiztonsági incidensek körülményeit köteles felderíteni, rögzíteni, és értesíteni ezekről a felügyelő hatóságot, és/vagy - igény esetén vagy proaktívan - tájékoztatni az incidenssel érintett adatalanyokat. A jogintézmény potenciális előnyei szinte azonnal mindenki számára láthatóak:

- Az érintett megteheti azokat az intézkedéseket (pl. megváltoztatja a jelszavát, kezdeményezi egyes fiókjainak felfüggesztését, vagy a bankkártyája letiltását, stb.), amelyekkel csökkenthetők az érintettet érő károk.[7]

- A felügyelő hatóság is meg tudja tenni a szükséges intézkedéseket, a bejelentések tar-

- 140/141 -

talmából nem csak egy-egy adatkezelőre, hanem egyes szektorokra, területekre nézve is értékes adatokhoz jut az adatbiztonság tényleges helyzetével kapcsolatban.

- Végül a legjelentősebb, bár érdekes módon a jogalkotás során kevésbé előtérbe kerülő érv,[8] hogy az adatkezelő a kínos, a szervezet jó hírnevét is veszélyeztető értesítési kötelezettség minimalizálása érdekében várhatóan jelentős (humán és pénzügyi) erőforrásokat fordít az adatbiztonság szintjének növelésére, és igyekszik alacsonyan tartani az adatvédelmi incidensek számát, illetve csökkenteni az incidenssel érintettek számát vagy az abból eredő potenciális károkat.

Az előnyök mellett persze számos lehetséges probléma is felmerül, különösen az alábbiak:

- Ha nincsenek kizárva a szabályozás hatálya alól a jelentéktelen incidensek, akkor ezek felderítése, jelentése elveszi az adatkezelő és az érintett figyelmét a komolyabb, nagyobb kockázatú incidensekkel kapcsolatos intézkedésekről.

- Ugyanez a probléma megjelenik a hatóságnál is: a felügyelő hatóság érdemben nem tud mit kezdeni a hozzá beáramló tömeges bejelentésekkel, a jogintézmény akár ki is üresedhet.

- A nem megfelelően differenciált szabályozás összességében túlzott és felesleges adminisztratív terhet ró az adatkezelőkre, a szabályoknak egy részük várhatóan nem fog tudni megfelelni.[9]

- Végül a jelentősebb ügyeknél az "önvádolás" dilemmával szembesül az adatkezelő. Mivel a komolyabb incidensek adatbiztonsági hiányosságokra, így jogsértésre utalhatnak, a bejelentés kapcsán olyan eljárás indulhat, amely az adatkezelő szankcionálásával, a GDPR alapján akár jelentős bírsággal, az érintettek kártérítésével vagy büntetőjogi következményeket járhat. Ez a bejelentés eltitkolása irányába hathat, ami persze szintén szankcionálható, de csak akkor, ha a hatóság tudomást szerez róla.[10]

Ezekre adott válaszok érdemben befolyásolják a jogintézmény sikerét: Pontosan mi számít adatvédelmi incidensnek? Minden - akár jelentéktelen incidensre - kiterjed-e a kötelezettség? Érdemes-e minden adatkezelőre kiterjeszteni a szabályokat, vajon minden adatkezelő képes-e olyan mechanizmusokat kialakítani, hogy megfeleljen a szabályozásnak? Mely esetekben kell értesíteni a hatóságot és az összes érintett is? Milyen gyorsan, milyen tartalommal és milyen formában kell az értesítést megtenni? Mit tud ténylegesen kezdeni a hatóság és az érintett ezekkel az információkkal?

Tanulmányomban - a jogszabályi rendelkezések tömör, leíró jellegű összefoglalását követően -a fenti kérdésekre keresem a válaszokat, és azok mentén végzem el - mind az elméleti-dogmatikai, mind a gyakorlati végrehajtási szempontokat figyelembe véve - részben a jelenlegi magyar, de hangsúlyosabban a jövőbeni összeurópai szabályozás elemzését.

2. Az adatvédelmi incidensek szabályozása

2.1 A szabályozásról általában

Az Egyesült Államokban 2003 óta létező, szigorú követelményként megfogalmazott, de csak meghatározott szektorokban alkalmazott jogintézmény[11] 2009 óta az európai adatvédelmi jogban is ismert: a hírközlési szolgáltatókra a hatályos hírközlési adatvédelmi irányelv[12] már előírja e kötelezettséget.[13] Úgyszintén megtalálható egy-egy tagállam adatvédelmi jogában is, példaként Németország, illetve legújabban Magyarország említhető.[14] Az EU új adatvédelmi rendelete azonban jelentős előrelépést tesz e területen, és az adatvédelmi incidensekre vonatkozó értesítési kötelezettséget szektorális szabályozásból egy minden adatkezelőre kiterjedő, az adatvédelmi incidens fogalmát szélesen értelmező és szigorú kötelezettségként megjelenő jogintézménnyé teszi, amelynek szabályai 2018. május 25-től valamennyi EU tagállamban alkalmazandók. Ezzel egyidőben - jelen állás szerint - az európai jogalkotó kivezeti a hírközlési szolgáltatókra vonatkozó ágazati szabályozást.[15]

2.2 A hírközlési szolgáltatók értesítési kötelezettsége

Az elektronikus hírközlési adatvédelmi irányelv szerint az adatvédelmi incidens, illetve az akkori szóhasználattal "a személyes adatok megsértése:[16] a biztonság olyan megsértése, amely a Közösségben nyilvánosan elérhető hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elveszítését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi".[17] A magyar jogalkotó a hírközlési törvényben[18] ennél tágabban implementálta a fogalmat, amikor kimondja, hogy az "előfizetői személyes adatok megsértését jelenti a nyilvánosan elérhető elektro-

- 141/142 -

nikus hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt, vagy más egyéb módon kezelt vagy feldolgozott személyes adatok véletlen, vagy jogellenes kezelése vagy feldolgozása, így különösen megsemmisítése, elvesztése, módosítása, jogosulatlan felfedése, nyilvánosságra hozatala, vagy az azokhoz való jogosulatlan hozzáférés."[19]

Az adatvédelmi incidens (személyes adatok megsértése) esetén a hírközlési szolgáltató köteles azt haladéktalanul - a végrehajtási rendeletek[20] alapján - de legkésőbb 24 órán belül[21] bejelenteni a felügyeletet ellátó Nemzeti Média- és Hírközlési Hatóságnak (NMHH).[22]

Ha a személyes adatok megsértése várhatóan hátrányosan érinti az előfizető vagy más magánszemély személyes adatait vagy magánéletét, akkor erről az előfizetőt vagy magánszemélyt is indokolatlan késedelem nélkül értesíteni kell. A felügyelő hatóság is dönthet úgy, hogy - az incidens körülményeinek mérlegelésével, az adatvédelmi felügyeletet ellátó Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) véleményének kikérésével - elrendeli az érintettek közvetlen értesítését. Mentesül az előfizetők vagy más magánszemélyek felé történő értesítési kötelezettség alól a szolgáltató, ha igazolni tudja, hogy végrehajtotta a megfelelő technikai védelmi intézkedéseket, illetve, hogy ezen intézkedéseket alkalmazták az incidenssel érintett adatok tekintetében, és ezek értelmezhetetlenné teszik az adatokat az adatokhoz jogosulatlanul hozzáférő számára.[23]

Az Eht. - az irányelvre támaszkodva - meghatározza az értesítés kötelező tartalmi elemeit is, amely szerint az érintetteknek szóló értesítés tartalmazza az incidens jellegét, azokat az információs pontokat, ahol további felvilágosítást kaphat, valamint intézkedéseket javasol a lehetséges hátrányok enyhítésére. Az NMHH-hoz intézett értesítés ezen felül leírja az incidens következményeit, és az annak orvoslására a szolgáltató által javasolt vagy megtett intézkedéseket is.[24]

Végül a szolgáltatóknak - a bejelentési/értesítési kötelezettség mellett - nyilvántartást is kell vezetniük az adatvédelmi incidensekről, amelyek alapján a hatóság képes ellenőrizni azt, hogy a szolgáltató helyesen járt-e el az érintettek értesítése vagy az értesítés mellőzése kapcsán, azaz helyesen mérlegelte-e az incidens következményeit, illetve alkalmazta a technikai és védelmi intézkedéseket.[25]

2.3 Más adatkezelőkre vonatkozó kötelezettségek

Az adatvédelmi rendelet az értesítési kötelezettséget általános, minden adatkezelőre kiterjedő követelményként vezeti be. Mindenekelőtt meghatározza az adatvédelmi incidens fogalmát, ami "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi".[26]

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, a tudomásszerzéstől számított legkésőbb 72 órával bejelenti az illetékes felügyelő hatóságnak. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell a késedelem igazolására szolgáló indokokat is. Nem kell azonban bejelenteni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.[27]

A rendelet emellett nyilvántartási kötelezettséget is előír, a 33. cikk (5) bekezdése alapján az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a 33. cikk követelményeinek való megfelelést.

A GDPR expressis verbis, de csak egyetlen tételmondatban kitér az adatfeldolgozók kötelezettségére is. Eszerint az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.[28]

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintetteket az adatvédelmi incidensről. Az adatkezelő azonban egyes esetekben - különösen, ha értelmezhetetlenné teszi az incidenssel érintett adatokat vagy a kockázatokat érdemben csökkenti -mentesül az érintettek értesítési kötelezettsége alól. A felügyelő hatóság, várhatóan a hozzá érkezett értesítések elemzése alapján, úgyszintén elrendelheti az érintettek tájékoztatását, vagy éppen megállapíthatja azokat a körülményeket, amelyek alapján az adatkezelő mentesül az érintettek értesítési kötelezettsége alól.[29]

A magyar jogalkotó - mintegy elébe menve a GDPR szabályozásának - 2015. október 1-jei hatállyal bevezette az adatvédelmi incidensek nyil-

- 142/143 -

vántartási kötelezettségét. Az Infotv. 3. § 26. pontja meghatározza az adatvédelmi incidens fogalmát, ami eszerint a "személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés." E fogalom, hasonlóan az Eht. definíciójához, tágabb, mint az EU-s meghatározás.

A módosítás az adatkezelő tájékoztatási kötelezettségét egészíti ki azzal, hogy az adatkezelőnek -az érintett kérelmére - tájékoztatást kell adnia az adatkezelés egyéb körülményei mellett az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről is. Ennek érdekében - hasonlóan az adattovábbítási nyilvántartáshoz - az adatkezelőnek rögzítenie kell, és nyilvántartást kell vezetnie az adatvédelmi incidensekről, amely tartalmazza az érintett személyes adatok körét, az incidenssel érintettek körét és számát, az esemény időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket. Az Infotv. tisztázza, hogy e kötelezettségnek a hírközlési szolgáltatók az Eht. rendelkezései szerint kötelesek eleget tenni.[30]

A hatályos adatvédelmi jog tehát nem írja elő sem a hatóság, sem az érintettek proaktív értesítését, "csak" az incidensek nyilvántartását, ez azonban - amint azt a későbbiekben részletesen bemutatom - nem sok könnyítést jelent az adatkezelőknek, tulajdonképpen annyit, hogy több idejük marad az incidenssel kapcsolatos intézkedésekre, mintha azokat rövid határidővel be kellene jelenteni.

3. A szabályozás értékelése

3.1 Az adatvédelmi incidens fogalmáról

Az adatvédelmi incidens fogalma a magyar jogban egyértelműen tágabb esetkört ölel fel, mint a vonatkozó EU-s joganyag fogalmai. E különbség először az elektronikus hírközlési irányelv átültetésekor jelent meg, és a jogalkotó megtartotta akkor is, amikor az Infotv.-be iktatta az adatvédelmi incidens fogalmát. Az Eht. és az Infotv. fogalmai alapvetően hasonló jelentéstartalommal bírnak,[31] de ez valójában csak az EU szabályozásával való összhang hiányának következetes és indokolatlan képviselete.

Amint látható, a GDPR szóhasználatában[32] az adatvédelmi incidens az adatbiztonsági követelmények megsértését jelenti, azaz az személyes adatok "véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést".[33] A 29-es adatvédelmi munkacsoport által kiadott, az adatvédelmi incidens bejelentését elemző vélemény szintén utal arra, hogy az adatvédelmi incidens az információbiztonság klasszikus hármas követelményeinek, a "bizalmasság, sértetlenség, rendelkezésre állás" megsértését jelenti.[34] Meg kell jegyezni, hogy a jogintézmény céljai és előnyei alapján nem evidens, hogy az elveszett vagy megváltoztatott adatokra is kiterjedjen az értesítési kötelezettség. Az Egyesült Államokban és a jelenleg hatályos német szabályozásban például csak az adatok jogosulatlan személyek általi hozzáférése alapozza meg az értesítési kötelezettséget.[35]

A magyar jogalkotó jóval tágabban definiálja az adatvédelmi incidenst, amely ugyan példálózó jelleggel magában foglalja az adatbiztonság követelményének megsértését is, de a fogalom hatálya alá vonja a "személyes adat jogellenes kezelését vagy feldolgozását".[36] A 3. § 26. ponthoz fűzött indokolás egyértelművé teszi, hogy ide tartozik "minden olyan adatkezelési vagy adatfeldolgozási művelet, amely jogellenes (nem felel meg az Infotv. rendelkezéseinek), függetlenül attól, hogy a jogellenesség szándékosság, gondatlan magatartás vagy technikai hiba, esetlegesen külső behatás következménye-e", ugyanakkor egyáltalán nem tér ki arra, hogy mi indokolja az EU szabályozásnál szélesebb hatályú fogalom megalkotását.[37] Így a magyar jog alapján adatvédelmi incidensnek számít, ha például az adatkezelő észleli, hogy nem volt pontos az adatkezelési tájékoztatója (pl. az érintett jogorvoslatára nézve), az egyébként minden más szempontból jogszerű adatkezelését nem jelentette be megfelelő időben az adatvédelmi nyilvántartásba, az érintettet - kérelmére - az előírt határidő után tájékoztatta az adatkezelés körülményeiről, vagy a törvényi kötelezettség ellenére nem nevezett ki belső adatvédelmi felelőst. Mindezen esetek nem esnének sem a GDPR, sem az információbiztonság területén elterjedt adatvédelmi/adatbiztonsági incidens fogalom hatály alá.

3.2 Differenciálás az incidensek között

3.2.1 A jelentéktelen incidensek problematikája

Az egyik legfontosabb, az adatvédelmi incidensek nyilvántartásával és bejelentésével kapcsolatos adminisztratív terhet is befolyásoló kérdés, hogy vajon érdemes-e meghatározni az adatvédelmi incidensek olyan minimumszintjét (a továbbiakban jelentéktelen vagy bagatell incidens), ami alatt nem

- 143/144 -

indokolt semmilyen kötelezettség. A fent bemutatott fogalmak mindegyikéből az következik, hogy bármilyen olyan esemény, ami sérti az adatbiztonságot (EU jog alapján), illetve jogellenes adatkezelést valósít meg (hazai jog alapján), az megfelel a fogalomnak, akkor is, ha csak minimális a behatás az érintett magánszférájába, és akkor is, ha az incidens akár csak egyetlenegy természetes személyt érint.

Az adatvédelmi incidensek kapcsán tehát nem csak, sőt, nem is elsősorban azokra a nagy jelentőségű, komoly károkat okozó illetéktelen hozzáférésekre vagy adatvesztésekre kell gondolni, amire a bevezetőben utaltam, hanem például egy tévesen rossz előfizetőnek küldött telefonszámlára, aminek következtében az egyik előfizető - jogellenesen - megismeri egy másik előfizető személyes adatait.[38] Úgyszintén, egy kisvállalkozó elromlott merevlemeze miatt többé meg nem nyitható dokumentum az előző havi megrendelésekről és megrendelőkről, egy üzletkötő medencében elázott mobiltelefonján tárolt ügyfélelérhetőségek hozzáférhetetlenné válása,[39] vagy az elvesztett laptopon/telefonon tárolt személyes adatok jogosulatlanok számára megismerhetővé válása egyaránt adatvédelmi incidensnek tekinthető. De megfelel a fogalomnak az is, ha egy elbocsátott munkavállaló személyes adatokat tartalmazó ügyféladatbázishoz való hozzáférése a jogviszony megszűnése után - akár csak néhány napig - jogosulatlanul fennáll. A fenti példákból látható, hogy az adatvédelmi incidens lényegében bármely adatkezelő mindennapi tevékenysége során felmerülhet, egyes esetekben egészen csekély, máskor lényegesen jelentősebb sérelmet okozva az érintetteknek.

A hatályos hazai jogi környezet az adatvédelmi incidensek hatóság felé történő bejelentése (hírközlési szolgáltatók esetén), illetve nyilvántartási kötelezettsége (minden adatkezelő esetén) kapcsán nem ír elő semmilyen további feltételt, azaz ezeket bármilyen, akár csak minimális sérelmet okozó, és akár egyetlenegy természetes személyt érintő adatvédelmi incidens esetén meg kell tenni. Az érintettek proaktív értesítésével kapcsolatos, hírközlési szolgáltatókat érintő kötelezettségnél azonban már egyértelműen felmerül a differenciálás: csak az érintettet "várhatóan hátrányosan érintő" adatvédelmi incidensekről kell magukat az érintettek is tájékoztatni.[40]

3.2.2 A valószínűsíthető (magas) kockázat a GDPR szabályaiban

Az EU rendelet szabályozása némi változást hoz a differenciálás területén. A GDPR alapján nem kell bejelenteni az incidenst a hatóságnak, ha az adatvédelmi incidens "valószínűsíthetően nem jár kockázattal".[41] Az érintetteket pedig csak akkor kell értesíteni, ha az incidens "valószínűsíthetően magas kockázattal" jár. Meg kell azonban jegyezni, hogy az incidensek nyilvántartási kötelezettsége minden incidensre kiterjed, ami lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze a GDPR vonatkozó követelményeinek való megfelelést, értelemszerűen ideértve azt is, hogy helyesen mérlegelte-e az adatkezelő az incidens kockázatát, amikor annak bejelentéséről vagy be nem jelentéséről döntött.[42] A kérdés azért különösen kényelmetlen az adatkezelők számára, mert az elszámoltathatóság elvével összhangban nekik kell igazolniuk, hogy az incidens "valószínűsíthetően nem jár kockázattal", és ennek sikertelensége esetén viselniük ennek következményeit.

A szabályozás tehát csak látszólag veszi ki a bagatell incidenseket a hatálya alól, valójában azonban minden adatkezelőnek úgy kell kialakítani a belső rendszerét, hogy annyit mindenképp foglalkozzon az incidenssel, hogy nyilvántartásba vegye és eldöntse a várható kockázat mértékét.

Az előzőekből látható, hogy a potenciális kockázatok kérdése és a valószínűsíthető kockázat mértékének értelmezése igen fontos gyakorlati kérdés lesz az értesítési kötelezettség teljesítése szempontjából. A normaszöveg ugyan nem ad konkrét eligazítást, de néhány kapaszkodó magában a GDPR-ban is található. Az indokolás funkciót is betöltő preambulum szerint az incidens fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között:

- a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását;

- hátrányos megkülönböztetést;

- személyazonosság-lopást vagy hasonló visszaélést;

- pénzügyi veszteséget;

- az álnevesített (pszeudonim) adatok jogosulatlan személyhez kötését;

- a jó hírnév sérelmét;

- a szakmai titoktartási kötelezettséggel védett személyes adatok bizalmasságának sérülését;

- illetve egyéb jelentős gazdasági vagy szociális hátrányt.[43]

- 144/145 -

Ugyancsak meg kell említeni, hogy a "valószínűsíthetően magas kockázat" egy másik jogintézménynél, a kötelező adatvédelmi hatásvizsgálat lefolytatásánál is szempontként merül fel. A jogalkotó itt néhány konkrét példát is meghatározott, amely az adatvédelmi incidensekkel kapcsolatos szabályok kapcsán is kapaszkodót jelenthet. Eszerint jelentős a kockázat:

- a természetes személyekre vonatkozó egyes személyes jellemzők módszeres és kiterjedt értékelése esetén, amely automatizált adatkezelésen - ideértve a profilalkotást is - alapul, és amelyre joghatással bíró vagy hasonlóan jelentős döntések épülnek;

- a különleges adatok kezelése esetén; és

- a nyilvános helyek nagymértékű, módszeres megfigyelése esetén.[44]

A hatályos, hírközlési szolgáltatókat érintő szabályozás szintén tartalmaz néhány rendelkezést, amely segíthet az értelmezésben. Itt ugyan a jogalkotó a "várhatóan hátrányosan érintő" incidensekre ad példákat, de ezek alapvetően alkalmazhatóak a "valószínűsíthetően magas kockázattal jár" kitétel értelmezéséhez is. Ezek szerint a hátrányos helyzet fennállását egyrészt (i) az adatok jellege és tartalma alapján lehet megítélni (pl. pénzügyi információk vagy különleges adatok, helymeghatározó adatok, internetes naplófájlok, böngészési előzmények, elektronikus levelezési adatok és tételes híváslisták); másrészt (ii) az incidens várható következményei alapján (pl. ha az személyes adattal visszaéléshez, testi épség sérelméhez, becsületsértéshez, rágalmazáshoz vagy a jóhírnév sérelméhez vezethet); végül (iii) az incidens körülményei is relevánsak lehetnek, (pl. ha a Btk. szerinti tiltott adatszerzés vagy információs rendszer vagy adat megsértése, valamint az információs rendszer védelmét biztosító technikai intézkedés kijátszása bűncselekmény gyanúja merül fel).[45]

E kapaszkodók mellett az adatkezelők a jövőben konkrét iránymutatásokat kaphatnak. A GDPR 70. cikk (1) g-h) pontjai alapján az Európai Adatvédelmi Testület feladatai között szerepel mind az "indokolt késedelem", mind a "valószínűsíthetően (magas) kockázat" értelmezésével kapcsolatban iránymutatások és ajánlások kidolgozása. Várhatóan tehát az adatvédelmi rendelet kötelező alkalmazásának idejére az adatkezelők kellő információ birtokában dolgozhatják ki az incidens-bejelentéssel kapcsolatos belső adatkezelési rendszerüket.

3.3 A nyilvántartási és értesítési kötelezettség alanyai

Ugyancsak fontos kérdés, hogy pontosan kik legyenek a nyilvántartási és értesítési kötelezettség alanyai. Két kérdés merül fel, egyrészt, hogy érdemes-e minden adatkezelőre, vagy elegendő egyes szektorokra kiterjeszteni a szabályozást, másészt pontosan mi az adatfeldolgozók szerepe az adatvédelmi incidensek bejelentésével kapcsolatban.

3.3.1 Differenciálás az adatkezelők között

Differenciált szabályozási rendszer kialakítása nemcsak az adatvédelmi incidens súlyossága, hanem az adatkezelők tevékenysége alapján is lehetséges. Az adatkezelők megkülönböztetése során elvi és gyakorlati szempontok is szóba jöhetnek, egyrészt az adatkezelők által kezelt adatok jellege, érzékenysége, az incidenssel kapcsolatos kockázatok, másrészt az adatkezelők potenciális képessége a szabályozás végrehajtására. E problémakör mind a hírközlési szolgáltatókkal kapcsolatos jogalkotás, mind a GDPR jogalkotási folyamatában felmerült. Az adatvédelmi incidens hírközlési szektorban történő bevezetése mintegy kísérletnek vagy főpróbának tűnhet: a kezelt adatok kellően érzékenyek, és a hírközlési szolgáltatók - a számos más compliance kötelezettségből adódóan - vélhetően rendelkeznek a végrehajtáshoz szükséges erőforrásokkal. Ugyanakkor már a hírközlési adatvédelmi irányelv elfogadása során is felmerült, hogy a kötelezettséget kiterjesszék valamennyi információs társadalommal összefüggő (azaz online) szolgáltatást nyújtó szolgáltatóra. Az adatok sérülékenysége ezt talán indokolta volna, de végül - elvileg az ePrivacy hatályára hivatkozva,[46] mögöttes szempontként azonban vélhetően az online szolgáltatók túlzott adminisztratív terhelésének elkerülése miatt is - erre nem került sor.

Az EU adatvédelmi reformja során újra előtérbe került a kötelezettség kiterjesztése más szektorok adatkezelőire is - tipikusan a pénzügyi szektorra, az egészségügyi szolgáltatókra és a már említett online szolgáltatást nyújtó szolgáltatókra. A kötelezettség szektorális kiterjesztése tekintetében szerzőtársaimmal is egyetértettünk.[47] Az adatvédelmi reform során a kötelezettség kiterjesztését a Bizottság 2010-es közleménye is megfontolásra javasolta,[48] a 29-es munkacsoport 2011-ben elfogadott, egyébként a hírközlési szolgáltatók helyzetét elemző munkadokumentuma pedig ezt üdvözölte, és javaslatokat is megfogalmazott. Ezek lényege

- 145/146 -

abban állt, hogy először is a kötelezettséget minden adatkezelőre ki kell terjeszteni, mivel "a személyes adatok megsértése az a személyes adatok megsértése, függetlenül attól, hogy a szervezet egy szállító, bank, gyár, vagy a közszféra valamelyik szervezete", másodszor pedig változatlan tartalommal kell kiterjeszteni, mivel a hírközlési szektor kapcsán kiegyensúlyozott, a különböző érdekekre tekintettel lévő szabályozás született.[49] A dokumentum megfogalmazza a jogintézmény céljait is: egyrészt így az érintettek megtehetik a szükséges lépéseket a potenciális károk elhárítására (ezért kell gyorsan megtenni az értesítést, és ezért mellőzhető, ha az adatkezelő maga megteszi a megfelelő intézkedéseket), másrészt az adatkezelőket az adatbiztonság szintjének növelésére ösztönzi.[50] Ugyanakkor az ENISA 2011-ben kiadott tanulmánya jóval óvatosabb, és a kisvállalkozásokra történő kiterjesztést komoly kihívásnak nevezte, mivel azok gyakran nem rendelkeznek kellő erőforrással és tudással az adatok megfelelő biztosításához.[51]

A magam részéről továbbra is azt gondolom, hogy a kötelezettség minden adatkezelőre történő kiterjesztése túlzó és sokak számára teljesíthetetlen kötelezettség. Vajon mennyire életszerű, hogy ha például egy egyéni vállalkozó mesterember útközben elveszti az ügyfele e-mail címét tartalmazó cetlit, vagy egy mikrovállalkozás - legyen egy húsbolt vagy fodrászüzlet - vezetője tévedésből letöröl néhány, a munkavállalójával váltott e-mailt (amelynek tartalma eleve személyes adatnak minősül), akkor nyilvántartásba veszi az incidenst, majd mérlegelve a hatását eldönti, hogy értesíti-e a hatóságot vagy sem? Ezekben az esetekben még leginkább az érintett értesítése a leginkább valószínű, "ösztönös" megoldás.

Az önmagában elfogadható érv, hogy ne feltétlen az adatkezelők jellege alapján differenciáljon a szabályozás, mivel elvben bármilyen típusú adatkezelő kezelhet olyan adatokat, amelyeknél egy adatvédelmi incidens jelentős kockázatot jelent. Az európai szabályozás igyekszik differenciálni, de ezt csak a hatóság értesítése kapcsán teszi meg, a nyilvántartási kötelezettség és így a "rendszer" kiépítése alól semelyik adatkezelő nem mentesül. Célszerűbb lett volna mégiscsak tételesen végiggondolni, hogy mely szektorokra lehet feltétel nélkül kiterjeszteni a nyilvántartási/értesítési kötelezettséget, az egyéb adatkezeléseknél pedig valamilyen szűkítő szempontot figyelembe venni, és például csak a "valószínűsíthetően magas kockázattal járó" adatkezelésekre vagy meghatározott számú adatalany érintettsége esetére kiterjeszteni a kötelezettséget - azaz összességében olyan adatkezelőkre, akiknél ez valóban indokolt, és akik várhatóan meg is birkóznak az értesítési kötelezettséggel együtt járó adminisztratív teherrel.

3.3.2 Az adatfeldolgozó szerepe

Adatfeldolgozó igénybevétele esetén meglehetősen gyakori, már-már tipikus eset lehet,[52] hogy az incidens valójában az adatfeldolgozónál, pl. az általa üzemeltetett informatikai rendszerben következik be. Az adatkezelő nyilvánvalóan csak akkor tudja a kötelezettségét teljesíteni, ha ebben az adatfeldolgozó is partner.

Az adatfeldolgozó alapvető kötelezettsége az adatvédelmi incidensről tájékoztatni az adatkezelőt, hogy aztán az adatkezelő meg tudja tenni a megfelelő lépéseket. Az adatfeldolgozó helyzetét több körülmény nehezíti. Egyrészt hiába zárja ki a jövőbeni szabályozás a bagatell incidenseket a bejelentési kötelezettség alól, ennek megítélése per definitionem az adatkezelő feladata, azaz az adatfeldolgozónak minden esetről tájékoztatást kell adnia.

Ugyancsak szigorúan értelmezendő az "indokolatlan késedelem nélkül" kitétel, mivel az adatkezelőnek is csak 72 órája van a hatóság felé történő bejelentésre. Érdekes értelmezési kérdés, hogy a 72 órát az incidens első, adatfeldolgozó általi tudomásszerzésétől kell-e számítani, vagy attól az időponttól, amikor az adatfeldolgozó az adatkezelő tudomására hozza. Ezt a kérdést vélhetően a jövőbeni gyakorlat fogja kimunkálni, de mivel a teljes adatkezelésért az adatkezelő a felelős, az adatfeldolgozó - mintegy alvállalkozóként - az adatfeldolgozási megállapodásban foglaltaknak megfelelően köteles eljárni, elsőre az az értelmezés látszik valószínűnek, hogy az adatkezelő és adatfeldolgozó tudomásszerzését a jogalkotó egyszeri, egyidejű tudomásszerzésnek tekinti. Mivel az adatfeldolgozó a kötelezettségét indokolt késedelem nélkül, de konkrét határidő nélkül kell, hogy teljesítse,[53] az ezzel ellentétes értelmezés szerint a rövid jogszabályi határidőt ki lehetne játszani azzal, ha az adatkezelő és adatfeldolgozó hosszú értesítési határidőben állapodna meg az adatfeldolgozói szerződésben.

Ezek alapján célszerű az adatfeldolgozói szerződéseket megfelelően módosítani (ennek fontosságára az Infotv. indokolása is kifejezetten utal)[54] annak érdekében, hogy egyértelműek legyenek az adatfeldolgozó kötelezettségei, az értesítés határideje, és hogy mely szabályok megsértéséért felel az adatfeldolgozó. A helyzetet a gyakorlatban ne-

- 146/147 -

hezíti, hogy a felhőszolgáltatások tömeges elterjedésével az adatfeldolgozási szerződések jelentős része multinacionális online szolgáltatók (pl. Google, Microsoft, Amazon) által ÁSZF-ként kínált szerződési feltétel, amelyre az adatkezelők nagy részének lényegében nincs ráhatása.

3.4 A nyilvántartási és értesítési kötelezettség tartalma

Mindenekelőtt látni kell, hogy az adatvédelmi incidensek nyilvántartásának, a hatóság illetve az érintettek értesítésének tulajdonképpen más-más a célja.

A nyilvántartási kötelezettséggel alapvetően az biztosítható, hogy az érintett érdeklődésére vagy egy esetleges hatósági vizsgálat során fény derüljön az adatvédelmi incidensekre és azok körülményeire, és a hatóság vagy az érintett ennek megfelelő döntést hozhasson. Ezt az érintett elsősorban a jövőre nézve teheti meg, mivel az incidens kapcsán érdemi intézkedéseket vélhetően ez alapján már nem tud tenni, de értékelheti az adatkezelő adatkezeléssel kapcsolatos tevékenységét, és elvben levonhatja a következtetéseket, például legközelebb más szerződéses partnert választ.

A hatóság értesítésének célja az lehet - és ez alapján indokolt a valószínűsíthetően kockázattal nem járó incidenseket e körből kizárni - hogy egyrészt a hatóság is mérlegelhesse az érintettek értesítésének szükségességét, másrészt a hatóság akár egyedi ügyben, akár egy-egy szektorra koncentrálva különböző intézkedéseket tegyen. Ugyanakkor a tömeges értesítések - és a GDPR szabályozása alapján még a jelentéktelen incidensek kiszűrésével is alapvetően ez várható - feldolgozása jelentős erőforrást igényel a hatóság részéről is, és félő, hogy az értesítések tömegében könnyen elvesznek a tényleg jelentős, hatósági fellépést igénylő ügyek - már csak ezért is indokolt lett volna szűkebb alanyi körre telepíteni e kötelezettséget.

Végül az érintett értesítésének célja elsősorban az, hogy maga is megtehesse azokat a lépéseket, amelyekkel csökkentheti az őt érő kockázatokat vagy hátrányos következményeket. Így logikusak az értesítés alóli kimentési okok is - ha nincs szükség az érintett közreműködésére, nincs szükség az értesítésére sem.

A korábbi alfejezetekhez képest jóval kevesebb elvi és gyakorlati problémát vet fel a nyilvántartási és értesítési kötelezettség tartalma, amelyet - egy fontos hiányt leszámítva - mind a hatályos Infotv., mind a GDPR logikusan határoz meg. Ezek szerint a nyilvántartás/értesítés legfontosabb tartalmi elemei:

- az adatvédelmi incidens jellege (körülményei), és az ahhoz kapcsolódó tények (időpont, érintettek köre és száma, az incidenssel érintett adatok köre);

- az adatvédelmi felelős vagy egyéb tájékoztatást nyújtó személy neve elérhetőségei;

- az incidens várható hatása, következményei;

- az adatkezelő által megtett vagy tervezett intézkedések.

Érdekes, hogy a GDPR - szemben a hírközlési szolgáltatókra vonatkozó jelenlegi szabályokkal - nem tartalmazza azt a nagyon logikus kötelezettséget, hogy az érintettet azokról a lépésekről is tájékoztatni kell, amelyet ő maga megtehet a kockázatok vagy hátrányos következmények csökkentésére.[55] A joggyakorlat ezt vélhetően meg fogja követelni.

3.5 Az értesítés címzettjei, a hatóság és az érintettek fellépési lehetőségei

A szabályozás valójában többirányú értesítési kötelezettséget ír elő: egyrészt az adatfeldolgozónak az adatkezelő felé történő, másrészt az adatkezelőnek a hatóság, illetve az érintettek felé történő értesítési kötelezettségét.

A hatóság, mint címzett kapcsán meg kell jegyezni, hogy a hírközlési szolgáltatók kötelezettségének bevezetése során felmerült, hogy az értesítés címzettje a hírközlési vagy az adatvédelmi hatóság legyen-e. Mivel már akkor látszódott az az irány, hogy a kötelezettség később más adatkezelőket is érinthet, szerzőtársaimmal amellett érveltünk, hogy a folyamatba mindenképpen indokolt bevonni az adatvédelem felügyeletét ellátó (akkor még) adatvédelmi biztost,[56] ez végül meg is valósult.[57] A GDPR hatálybalépésével az általános incidens-bejelentési kötelezettség címzettje az adatvédelmi felügyeletet ellátó nemzeti hatóság lesz, az azonban nyitott kérdés, hogy a meglévő, NMHH felé történő bejelentés mechanizmusa miként változik 2018. május 25-től, amikor a hírközlési szolgáltatókra vonatkozó ágazati kötelezettség EU szintű szabályozása várhatóan megszűnik. Vajon dönthet-e úgy a nemzeti jogalkotó, hogy megtartja a meglévő - a GDPR-ral alapvetően nem ellentétes, de annál szigorúbb - nemzeti szintű szabályokat a hírközlési szektorra nézve? E tanulmányon túlmutató értelmezési kérdés, hogy az EU rendeletétől ilyen mértékű eltérés egyáltalán lehetséges-e, de az biztos, hogy semmiképp sem lenne szerencsés, mert erre alapítva számos más ágazat (pénzügyi

- 147/148 -

szektor, egészségügyi szolgáltatók, stb.) felügyeletét ellátó hatóságnak is szerepet lehetne adni az incidens-bejelentéssel kapcsolatban, ami az egységes joggyakorlat kialakítását ellehetetlenítené. Az NMHH-nál felhalmozódott tudás azonban sokat segíthet az adatvédelmi hatóság megfelelő mechanizmusainak kialakításában.

Fontos kérdés az is, hogy a hatóság pontosan mihez kezd az értesítésekkel. A korábbiakban már utaltam rá, hogy a túl nagyszámú bejelentés elnehezítheti a hatóság reakcióját, és érdemi válasz nélkül maradhatnak amúgy fontos bejelentések. A problémakör már a hírközlési szolgáltatók bejelentései során felmerült a jogirodalomban, hangsúlyozva, hogy egészen biztosan széles szabadságot kell adni a hatóságoknak a tekintetben, hogy mely bejelentések kapcsán indít eljárást[58] - a bejelentések várható számának növekedésével ez még inkább igaz.

A magyarországi tapasztalatok némi kételyt ébreszthetnek a hatósági fellépés - és végső soron az egész jogintézmény - hatékonyságával kapcsolatban. A NMHH-tól kért adatszolgáltatás és szakmai egyeztetés eredményeképp az ügyek számát és jellegét tekintve az látható, hogy 2014-ben 107, 2015-ben 86, 2016-ban 71 bejelentés érkezett, 2017-ben az eddig eltelt időben 21. Nem volt olyan eset, amikor az érintett értesítését el kellett volna rendelni, mert vagy nem volt indokolt, vagy a szolgáltató már magától eleget tett ennek. A bejelentések nyomán ellenőrzés jellemzően nem indul, mivel az látható, hogy bár ismétlődnek az okok, de rendszerint emberi mulasztásra vagy az informatikai rendszer valamilyen hibás működésére (pl. adatfrissítés, szinkronizáció elmaradása, lassúsága) vezethetők vissza. Volt ugyanakkor olyan ellenőrzés, amikor a bejelentés hatására további információkat kért be a hatóság, és az érintett szolgáltatót a folyamatai felülvizsgálatára hívta fel.[59]

Az esetek döntő többségét tehát olyan kisjelentőségű ügynek[60] ítélte az NMHH, ami nem igényel hatósági fellépést. Ez felveti azt a kérdést, hogy a súlyosabb incidensek miért nem kerültek a hatóság látókörébe. Ennek vagy az lehet az oka, hogy - örvendetes módon - súlyos incidensek nem történtek az elmúlt években a magyar hírközlési szektorban,[61] vagy ezeket az érintett szolgáltatók nem jelentették a felügyelő hatóságnak - mint fentebb láttuk, ez akár racionális magatartás is lehet a részükről. Akárhogy is, ha a valóban súlyos incidensek nem jutnak a hatóság és/vagy az érintettek tudomására, az a jogintézmény értelmét kérdőjelezi meg.[62]

Az érintettnek küldött értesítések esetén pedig az a veszély merül fel, hogy a túl sok értesítés összességében csökkenti az érintettek ingerküszöb-ét,[63] és akkor sem tesznek intézkedéseket, ha egyébként indokolt lenne. Az érintetti értesítésre alkalmazott magasabb jogszabályi küszöbnek (az incidens várhatóan magas kockázata), valamint az érintett értesítését megalapozó kivételeknek köszönhetően ez a jelenség várhatóan elkerülhető.

3.6 Az értesítés határideje és formája

A hatóság felé történő bejelentés határideje a GDPR alapján meglehetősen rövid, a tudomásszerzéstől számított legfeljebb 72 óra, bár a szigorúnak[64] tűnő határidőt több tényező is finomítja. A határidő rendszere tulajdonképpen többlépcsős:

- Az adatfeldolgozó az adatkezelőt, az adatkezelő a hatóságot, illetve - meghatározott feltételek teljesülése esetén - az érintettet "indokolatlan késedelem nélkül" kell, hogy értesítse, ami értelemszerűen 72 óránál rövidebb is lehet. A preambulum szerint ennek értelmezése során különösen az adatvédelmi incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire kell figyelemmel lenni.[65]

- A hatóság értesítésére, ha lehetséges, legkésőbb 72 órán belül kell sort keríteni.

- Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is - azaz a 72 óra elmulasztása sem jár feltétlenül a GDPR rendelkezéseinek megsértésével. A GDPR a bejelentés tartalma kapcsán is megjegyzi, hogy ha nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

A gyorsaság a jogintézmény célját tekintve indokolt, és a szabályozásnak van egy olyan üzenete is, hogy az adatkezelő jelentse be mielőbb, amit csak lehet, de ha jó oka volt a határidőből való kicsúszásnak, az sem lesz feltétlen jogellenes. Tág tehát a felügyelő hatóság mozgástere, a gyakorlatban vélhetően a 72 óra lesz a ténylegesen "elvárt" határidő, ami nem kezelhetetlenül rövid, és a gyakorlati nehézségét elsősorban az adja, hogy nincs tekintettel a munkaszüneti napokra, illetve a kulcsszereplő munkatársak szabadságára, betegségére.

Az értesítés formájával kapcsolatban a szabályozás nem tartalmaz részleteket, és a GDPR 70. cikk (1) g) és h) pontja alapján ez a kérdés az Adatvé-

- 148/149 -

delmi Testület által kibocsátott iránymutatások, ajánlások részét sem képezi. Ettől függetlenül is célszerű lesz ezt összeurópai szinten egységesíteni. A hírközlési szektorban kialakult gyakorlatot figyelembe véve a hatóság értesítése várhatóan valamilyen elektronikus felületen valósul majd meg, ami szinte elengedhetetlen a bejelentések érdemi feldolgozásához.

3.7 Mentesülés az érintettek értesítésének kötelezettsége alól

A GDPR 34. cikk (3) bekezdése alapján az érintettet nem kell a fentiek szerint tájékoztatni, ha:

- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az incidenssel érintett adatokon alkalmazták, különösen azokat az intézkedéseket - mint például titkosítás -, amelyek a hozzáférésre nem jogosult számára értelmezhetetlenné teszik az adatokat, vagy

- az adatkezelő az incidenst követően olyan intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg, vagy

- a tájékoztatás aránytalan erőfeszítést tenne szükségessé - ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy hasonló hatású intézkedést kell hozni.

Az első két pont logikusan következik a szabályozás célkitűzéseiből: ha az incidenssel érintett adatokhoz nem lehet ténylegesen hozzáférni, vagy olyan intézkedéseket hajtott végre az adatkezelő, amely az érintett értesítésének alapjául szolgáló "valószínűsíthetően magas kockázat" feltételt annulálja, akkor valóban nincs értelme az érintett értesítésének, különösen mivel a túl nagyszámú értesítés az érzékenység csökkenésével könnyen kontraproduktívvá válhat. A harmadik kivétel praktikus könnyítést tartalmaz, amely kapcsán azonban az aránytalan erőfeszítés további értelmezési kérdéseket vet fel.[66]

4. Szervezeti szintű eszközök és intézkedések

Az adatvédelmi incidensekkel kapcsolatos nyilvántartási és értesítési kötelezettség bizonyosan egyike azoknak az adatvédelmi jogintézményeknek, amely pontos, jogszerű végrehajtása megfelelő belső mechanizmusok kialakítása nélkül aligha kecsegtet sikerrel. Az alábbiakban röviden áttekintem az adatkezelő lehetséges szervezeti szintű intézkedéseit.

4.1 Az intézkedések formája

Mindenekelőtt fontos tisztázni, hogy melyek lehetnek az intézkedések eszközei. Három irány szinte biztosan felmerül:

a) Belső szabályozás (eljárásrend, szabályzat) kialakítása;

b) Szerződéses viszonyok áttekintése és módosítása;

c) Képzés/oktatás a munkatársak számára.

Ad a) Az adatvédelmi incidenssel kapcsolatos belső folyamatokat, feladatokat, szerep- és felelősségi köröket célszerű valamilyen belső normában, a szervezet jellegétől függően vezetői utasításban, szabályzatban vagy más, eljárásrendet rögzítő dokumentumban szabályozni. E szabályokat szükség szerint összhangba kell hozni más, információbiztonságot érintő szabályozással (ha van), például az üzletmenet-folytonossági tervvel.

Ad b) Az adatfeldolgozókat érintő kötelezettségekre tekintettel indokolt az adatfeldolgozói szerződések áttekintése, és nagy valószínűséggel a módosításuk is. Az adatkezelő elsősorban szerződéses kötelezettség útján tudja kikényszeríteni az együttműködést, amely azonban - amint arra korábban utaltam - a felhőszolgáltatók vagy más nagy piaci szereplők ÁSZF-jeivel szemben a kisebb adatkezelők számára a gyakorlatban nem könnyű. Várható persze, hogy e nagy szereplők hozzáigazítják az ÁSZF-jeiket a vonatkozó szabályozáshoz, de az adatkezelők tényleges alkupozíciója valójában csekély.

Ad c) A jogintézmény megismertetése, a rövid határidők betartásának fontossága iránti érzékenység elsősorban belső képzések, oktatások, tréningek segítségével biztosítható. Mint minden belső mechanizmus működtetéséhez, ehhez is elengedhetetlen a megfelelő vezetői elkötelezettség. A magas adatvédelmi bírságok ezt bizonyosan erősítik.

4.2 Az intézkedések tartalma

A belső folyamatok kialakítása során az alábbi tartalmi kérdések merülhetnek fel:

a) Várható esetkörök (proaktív) feltérképezése;

b) Belső értesítési lánc kialakítása;

c) Hatóság és érintettek értesítése.

Ad a) Érdemes még az események tényleges bekövetkezése előtt végiggondolni, hogy az adott szervezetnél potenciálisan milyen adatvédelmi

- 149/150 -

incidensek fordulhatnak elő, azok milyen súlyúak lehetnek, és milyen következményekkel járhatnak. Néhány lehetséges példa (melyek egy részét a korábbi fejezetekben már említettem): rossz címzettnek küldött postai küldemény vagy e-mail, adathordozók (laptop, táblagép, mobiltelefon) meghibásodása, ellopása, elvesztése, különböző informatikai rendszerek közötti, csak részben sikeres adatmigráció, jogosulatlan hozzáférés rosszul beállított jogosultságkezelés miatt vagy a munkaviszony megszűnése után, nem megfelelően tárolt selejtezett iratok, és persze a "klasszikus" adatvédelmi incidensek, az egyre gyakoribbá váló külső rosszindulatú támadások.[67] Természetesen a valóban megtörtént incidensek nyilvántartása, és ezek elemzése folyamatosan bővítheti a fenti listát és az adott szervezetet adatvédelmi incidensekkel kapcsolatos tapasztalatait.

Ad b) A megfelelő belső értesítési lánc kialakítása szintén kulcskérdés.[68] Fontos azonosítani azokat a munkatársakat, akik először értesülhetnek az incidensről - ilyenek lehetnek például az informatikai rendszerrel foglalkozó szakemberek vagy - a különböző visszajelzéseket fogadó - ügyfélszolgálati munkatársak, illetve léteznek gyanús informatikai tevékenységet azonosító szoftverek is. Az első "láncszemeknek" kulcsfeladata van az incidens körülményeinek tisztázásában és (lehetőleg auditálható módon történő) naplózásában is - ez kritikus fontosságú lehet a helyzet későbbi jogi minősítésében, vagy egy bizonyítási eljárásban.

Emellett ki kell alakítani egy olyan gyors kommunikációs folyamatot, ahol nem csak az tisztázott, hogy ki hogyan, kit és miről értesít, de világosak a döntési kompetenciák is, és a folyamat során figyelembe kell venni azt is, hogy előfordulhat, hogy egy-egy munkatárs szabadság vagy betegség miatt nem elérhető. A 72 óra különösen ünnepek vagy munkaszüneti napok idején tűnhet majd nagyon rövid határidőnek.

Ad c) Végül ki kell alakítani a felügyelő hatóság és az érintettek értesítésére szóló protokollt. Az első pont nagyrészt nem az adatkezelő, hanem az Európai Adatvédelmi Testület és a hatóságok feladata lesz.

Az érintettek értesítése azonban érzékeny kérdés, mivel az jelentősen ronthatja a szervezet jóhírét, rombolhatja az ügyfelek szervezet iránti bizalmát. Így minden adatkezelőnek elemi érdeke - azon túl, hogy az előzőekben részletezett intézkedésekkel igyekszik elkerülni az érintettek értesítési kötelezettségét - hogy ezt a lehető legszakszerűbben, a jogintézmény célját és a szervezet érdekeit figyelembe véve tegye meg. Leginkább a tömör, szakszerű, nem indokolatlanul túlzó vagy ijesztő, a bizalomvesztést minden eszközzel csökkentő, de a törvényi tartalmi elemeket és az érintettek által megtehető intézkedéseket feltétlenül tartalmazó üzenet tűnik célravezetőnek.

Végül az üzenet formája is jelentős kérdés. A gyorsaság és a költséghatékonyság egyaránt valamilyen elektronikus út (e-mail, SMS, chatüzenet) mellett szól. Kérdéses azonban, hogy az adatkezelő rendelkezik-e ezen elérhetőségekkel; általában igen, ha azonban mégsem, akkor élhet azzal a GDPR-ban rögzített lehetőséggel, hogy ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé, akkor nyilvánosan közzétett információk útján is lehet az érintetteket tájékoztatni. A legjobb megoldás az lenne, ha a felügyeletet ellátó hatóság biztosítana egy olyan felületet (pl. a honlapján), ahol ezt könnyedén (gyorsan és hatékonyan) meg lehet tenni - ez a mindenki által elérhető tájékoztatás lehetővé tenné a sajtó mielőbbi együttműködését is a hír terjesztésében.

5. Következtetések

Az adatvédelmi incidensekkel kapcsolatos szabályrendszer részletes elemzésével rávilágítottam arra, hogy számos olyan részletkérdés van, amely a jogintézmény sikerét érdemben befolyásolja, és amelynek tételesjogi szabályozása kellő körültekintést igényelne (illetve igényelt volna).

Nem vitatva a jogintézmény és egy jól differenciált szabályozás valóban jelentős előnyeit, összességében mégis azt gondolom (nem megismételve az egyes kérdésekkel kapcsolatos kritikai megjegyzéseimet), hogy jelen formájában mind a hatályos magyar, mind a GDPR várható szabályozása egyértelműen túlzó, különösen a kötelezettség minden adatkezelőre történő kiterjesztése miatt, ami nagymértékű adminisztratív terhet ró számos olyan adatkezelőre is, akiknél a kockázatok ezt nem indokolják. Emellett látni kell, hogy a hatóság és az érintettek értesítési kötelezettsége ugyan a jelentéktelen, illetve a nem magas kockázatú incidensekre nem terjed ki, de így is félő, hogy - az adatkezelők részéről egyébként racionálisan - inkább a nagyszámú, de kisjelentőségű ügyek kerülnek majd a hatóságok látókörébe, és a valóban komoly incidensekkel kapcsolatos hatósági vagy érintetti fellépés lehetősége érdemben alig bővül.

A hatályos magyar szabályozás az adatkezelőknek a GDPR alkalmazására való felkészültségét tudja segíteni, de az adatvédelmi incidens fogalmi tágításának ezzel együtt sincs különösebb indoka. A jogintézmény céljai közül megvalósulhat az,

- 150/151 -

hogy az adatkezelők egy része még az adatvédelmi rendelet kötelező alkalmazása előtt jelentősebb figyelmet és erőforrást fordít az incidens-kezeléssel kapcsolatos kérdésekre, de az is várható, hogy az adatkezelők egy része egyáltalán nem lesz képes megfelelni a jogszabályi kötelezettségnek. Az értesítés hiányában pedig jelenleg sem a hatóság, sem az érintett nem tud fellépni a kockázatok csökkentése érdekében.

Mind a magyar, de a GDPR kapcsán már elsősorban az EU jogalkotóinak számos ponton lett volna lehetősége enyhébb, de legalábbis sokkal differenciáltabb szabályrendszert alkotni, akár az incidens fogalmának szűkítésével (például csak a potenciális jogosulatlan hozzáférésre kiterjesztve, vagy meghatározott számú érintettnek okozott sérelemhez kötve), akár a jelentéktelen incidenseknek a szabályozás egészének hatálya alól történő kivételével, akár a bejelentésre kötelezett adatkezelők differenciálásával. Ezekkel a jogalkotó nem élt, így a szabályozás kapcsán kétirányú hatás várható:

- Egyes nagyobb, illetve a személyes adatok kezelésére üzleti és jogi szempontból is jelentős hangsúlyt fektető adatkezelők - komoly erőforrásokat fordítva erre - valóban kiépítik a megfelelő mechanizmusokat, és érdemben csökkentik az incidensek számát és kockázatait. A hírközlési szektorban van is erre pozitív példa, a Telenor Magyarországnál például radikálisan csökkent az (egyébként nagyrészt eleve bagatell) adatvédelmi incidensek száma a szabályozás következtében kialakított mechanizmusoknak köszönhetően.[69]

- Ugyanakkor Európa szerte adatkezelők milliói lesznek abban a helyzetben, hogy nem is igen tudnak a szabályozásról, vagy ha tudnak is, pénzügyi és szakmai lehetőségeik miatt szinte reménytelen, hogy érdemben végrehajtsák a jogszabály rendelkezéseit, ezzel viszont jelentős büntetési tételeket kockáztatnak. Ha mégis végre tudnák hajtani, akkor pedig a felügyelő hatóságok néznének szembe olyan mennyiségű bejelentéssel, amellyel érdemben biztosan nem tudnának mit kezdeni.

A jogintézmény tényleges működési tapasztalatait persze majd csak néhány év múlva lehet érdemben elemezni, az eddigi, sok szempontból egy irányba mutató, azonos problémákat felfedő elemzések, gyakorlati tapasztalatok és nehézségek alapján azonban legfeljebb részsikerekre lehet számítani. ■

JEGYZETEK

* A tanulmány "Az internetes forgalomirányító szolgáltatások szabályozási kérdései" című, 116551 számú OTKA-kutatás eredményeire épül. Emellett a jelen tudományos közleményt a szerző a Pécsi Tudományegyetem alapításának 650. évfordulója emlékének is szenteli. Köszönöm Szemere Brigitta, Ádám Szilveszter és Dzsinich Gergely hasznos észrevételeit, amelyeket a tanulmány véglegesítéséhez használtam.

[1] A Big Data jelenségről ld. részletesen Viktor Mayer-Schönberger - Kenneth Cukier: Big Data. HVG, Budapest 2014.

[2] Az eset miatt politikusok kompromittálódtak, többen öngyilkosságba menekültek, és bizonyára megszámlálhatatlan párkapcsolat ment tönkre. A sajtóhírek tömege közül ld. pl. "Harminchétmillióan bánják, hogy valaha félreléptek", http://www.origo.hu/nagyvilag/20150824-ashley-madison-adatlopas-hutlenseg-honlap-viszony-zsarolas-internet.html, (2017.01.31.)

[3] Ld. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ (2017.01.10.), valamint Domokos N. Márton: "Tényleg azt hiszi, hogy minden információ nélkül részt veszek ebben?" avagy Adatbiztonsági értesítési szabályok, kérdések és gyakorlati tanácsok. Jogi Fórum, 2011. 312. o. http://www.jogiforum.hu/files/publikaciok/domokos_n_marton_adatbiztonsagi_ertesitesi_szabalyokpogi_forumj.pdf (2017.01.28.)

[4] Ez a kép is persze lassan eloszlik. Egyre világosabb a széles közvélemény számára is, hogy a támadások mögött már nem elsősorban szórakozó tinédzserek és elbocsátott informatikai vezetők, hanem sokkal inkább a szervezett bűnözés szereplői vagy egyre gyakrabban más államok titkosszolgálatai állnak.

[5] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet); a továbbiakban adatvédelmi rendelet vagy a bevett angol rövidítéssel: GDPR (General Data Protection Regulation)

[6] Az adatbiztonság szabályozása szintén előtérbe került az elmúlt években. Jó példa erre a 2016 nyarán elfogadott európai információbiztonsági irányelv (Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről), vagy Magyarországon az állami szervekre vonatkozóan részletes kötelezettségeket előíró, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény. Utóbbi végrehajtása számos intézkedést feltételez az érintett szervek részéről. Részletesen ld. Krasznay Csaba - Szádeczky Tamás: Az információbiztonság és állami szabályozása. In: E-közszolgálat fejlesztés: Elméleti alapok és tudományos kutatási módszerek (Szerk. Nemeslaki András), Nemzeti Közszolgálati Egyetem, Budapest 2014. pp. 249-264.

[7] Ez az érv, és az érintetteknek okozható potenciális károk felsorolása hivatalos indoklásként is megjelent az EU hírközlési szektorra vonatkozó értesítési kötelezettség kialakítására irányuló jogalkotása folyamán és az elfogadott jogszabályok preambulumában is. Ld. erről: Rosa Barcelo - Peter Traung: The Emerging European Union Security Breach Legal Framework: The 2002/58 ePrivacy Directive and Beyond. In: Data Protection in a Profiled World (Eds: Serge Gutwirth - Yves Poullet - Paul de Hert) Springer, 2010. 81-82. o.

[8] Barcelo - Traung: i.m. 82. o.

[9] Utóbbi két aggodalom számos helyen megjelent a szakirodalomban, ld. pl. Barcelo - Traung: i.m. 99. o. vagy Domokos Márton - az ICO véleményét is magában foglaló - kritikáját a GDPR szövegtervezetéről, Domokos N. Márton: Az EU új adatvédelmi szabályozása - avagy keep bangin' on the wall of Fortress Europe, Jogi Fórum, 2013. http://www.jogiforum.hu/files/adatvedelem/Az_EU_uj_adatvedelmi_szabalyozasa.pdf (2017.01.11.)

[10] Laura Vivet Ta fl: EU Data Breach Notification Rule: The Key Elements (Aug. 27, 2013). https://iapp.org/news/a/eu-data-breach-notification-rule-the-key-elements/

- 151/152 -

(2017.01.22.) A probléma hangsúlyosan megjelenik a data breach notification jogintézményének gazdasági elemzése kapcsán is, ld. Stefan Laube - Rainer Böhme: The economics of mandatory security breach reporting to authorities. Journal of Cybersecurity, 2016, 1. sz. 29-41. o. https://academic.oup.com/cybersecurity/article/2/1/29/2629554/The-economics-of-mandatory-security-breach (2017.01.25.)

[11] Laura Vivet Ta fl: i.m. Az incidens-bejelentési szabályozás az Egyesült Államokban nagyjából olyan, mint egyébként az adatvédelmi szabályozás: széttöredezett, elsősorban szektorális szabályozás, amelynek részletei tagállamonként (összesen 47 tagállamban) eltérőek. Jellemzően azonban csak a jogosulatlan hozzáférés, és csak meghatározott, elsősorban a személyiséglopás lehetőségét magában rejtő személyes adatok érintettsége esetén merül fel, illetve több tagállamban az érintettek számához kötött az értesítési kötelezettség. A jogintézmény áttekintését és kritikáját ld. részletesen Rachael M. Peters: So You've Been Notified, Now What: The Problem with Current Data-Breach Notification Laws. Arizona Law Review, 2014. 4. sz. 1171-1202. o. (HeinOnline adatbázisból), az USA és az EU hírközlési szolgáltatókra irányuló szabályozás részletes összehasonlítását pedig Domokos N. Márton foglalja össze: Domokos N. Márton: "Tényleg azt hiszi, hogy minden információ nélkül részt veszek ebben?"

[12] A vonatkozó szabályokat a 2009/136/EK irányelv vezette be a hírközlési adatvédelmi irányelv [Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről] módosításával.

[13] A hírközlési szolgáltatókra vonatkozó data breach notification szabályok részletes elemzését ld. Barcelo - Traung: i.m. 77-104. o. A jogalkotás folyamatáról és a hazai implementálással kapcsolatos egyes kérdésről részletesen ld. Bíró János - Szádeczky Tamás - Szőke Gergely László: A hírközlési szolgáltatók értesítési kötelezettsége a személyes adatok megsértése esetén (data breach notification). Infokommunikáció és jog, 2011. 2. sz. 46-49. o.

[14] A data breach notification Németországban 2009 óta meghatározott adatokat, különösen pénzügyi adatokat vagy különleges adatokat kezelő szervezetekre vonatkozó követelményként jelenik meg, de a bejelentési kötelezettség csak akkor áll fenn, ha az adatok illetéktelen személyek tudomására juthattak. Vö. Bundesdatenschutzgesetz (BDSG), 42a. §. Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 2015. október 1-jei módosítása vezette be az adatvédelmi incidensek nyilvántartási kötelezettségét. A további európai nemzeti DBN rezsimekről és kezdeményezésekről ld. Data breach notifications in the EU, ENISA, 2011. https://www.enisa.europa.eu/publications/dbn (2017.01.10.), 12-13. o.

[15] Ld. az ePrivacy rendelet elfogadásáról szóló javaslatot: Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017) 10 final, 2. o.

[16] A "data breach" kifejezés a magyar terminológiában eleinte "személyes adatok megsértéseként" (ld. 2002/58/EK irányelv magyar fordítását), később "adatvédelmi incidensként" (ld. pl. a GDPR fordítását) jelent meg. Utóbbit szerencsésebb és frappánsabb megfogalmazásnak tartom, különösen mivel az "incidens" kifejezés - nagyjából a jelenlegi jogi terminológiával hasonló tartalommal - már régóta ismert és használatos az információbiztonság, adatbiztonság területén. E tanulmányban a fenti fogalmakat szinonimaként használom.

[17] 2002/58/EK, 2. cikk i) pont

[18] Az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.)

[19] Eht. 156. § (2) bek.

[20] EU szinten a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről szóló, 611/2013/EU Bizottsági rendelete, Magyarországon a nem éppen frappáns című, a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról szóló 4/2012. (I. 24.) NMHH rendelet részletezi a bejelentéssel kapcsolatos kérdéseket, ideértve annak határidejét, módját, és azt is, hogy mely esetekben érinti az incidens "várhatóan hátrányosan" az érintetteket.

[21] 611/2013/EU, 2. cikk (2) bek., 4/2012. (I. 24.) NMHH Rend. 5. § (2) bek.

[22] 2002/58/EK, 4. cikk (3) bek., Eht. 156. § (3) bek.

[23] 2002/58/EK, 4. cikk (3) bek., Eht. 156. § (5)-(6) bek.

[24] 2002/58/EK, 4. cikk (3) bek., Eht. 156. § (7) bek.

[25] Eht. 156. § (4) bek.

[26] GDPR, 4. cikk 12. pont

[27] GDPR, 33. cikk (1) bek.

[28] GDPR, 33. cikk (2) bek.

[29] GDPR, 34. cikk (1), (3)-(4) bek.

[30] Infotv. 15. § (1)-(1b) bek.

[31] Bár kissé eltérő a megfogalmazás, a jogalkotó talán az Eht. szövegezésének sutaságán igyekezett javítani.

[32] A GDPR definíciója tartalmát tekintve teljesen megegyezik a 2002/58/EK fogalmával.

[33] GDPR, 4. cikk, 12. pont

[34] A 29. cikk alapján létrehozott adatvédelmi munkacsoport - 03/2014 sz. vélemény személyes adatok megsértése bejelentéséről (WP213), 4. o. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp213_hu.pdf (2017.01.15)

[35] Vö. Laura Vivet Ta fl : i.m., és BDSG, 42a. §

[36] Infotv. 3. § 26. pont

[37] Az Infotv. módosításakor ugyan még nem állt rendelkezésre a GDPR végleges szövege, de a korábbi szövegjavaslatokban (tartalmát tekintve) mindvégig a végül elfogadott definíció szerepelt.

[38] A hírközlési szolgáltatók és a hatóság tapasztalatai alapján valójában az ilyen súlyú incidensek teszik ki az adatvédelmi incidensek döntő többségét. Ld. Bényi Orsolya: Adatvédelmi incidens szolgáltatói szemmel, konferencia-előadását, valamint Ádám Szilveszter: Egy új jogintézmény születése. A személyes adatok megsértésének szabályozása és gyakorlata az elektronikus hírközlésben, konferencia-előadását a "XV. Infokommunikációs Szakmai Nap - Az adatvédelmi szabályozás tendenciái" című konferencián 2014. április 17-én

[39] Kivéve persze, ha a biztonsági mentések vagy párhuzamos nyilvántartások miatt az adatok továbbra is hozzáférhetőek.

[40] Eht. 156. § (5) bek.

[41] Az angol szöveg alapján "valószínűtlen, hogy kockázattal jár" ("unlikely to result in a risk"), amelynek jelentéstartalma egy árnyalattal eltér a magyar fordításétól - a pontosítást, értelmezést segítő, később elfogadásra kerülő dokumentumok alapján ez várhatóan nem okoz majd gyakorlati problémát.

[42] GDPR, 33. cikk (1) bek., (5) bek., 34. cikk (1) bek.

[43] GDPR, (85) preambulum-bek.

[44] GDPR, 35. cikk (3) bek.

[45] 4/2012. (I. 24.) NMHH rendelet, 5. § (17) bek.

- 152/153 -

[46] Barcelo - Traung: i.m. 88. o.

[47] "A magunk részéről egyetértünk a data breach notification jogintézményének kiterjesztésével olyan további adatkezelésekre is, amelyek esetében a biztonság megsértése számos magánszemély információs önrendelkezési jogát és érdekeit sértheti, ide értve például a bank-, egészségügyi, illetve esetlegesen az elektronikus kereskedelmi szektorban működő egyes szolgáltatókat is." Bíró - Szádeczky - Szőke: i. m. 48. o.

[48] Ezt a kiterjesztésre vonatkozó különösebb indoklás nélkül tette, csak arra utalt, hogy "más ágazatokban (pl.: a pénzügyi szektorban) is fennáll az adatsértés veszélye, [így] a Bizottság megvizsgálja, hogy milyen módon terjeszthető ki [a hírközlésen kívüli] egyéb ágazatokra a személyes adatok megsértésére vonatkozó bejelentési kötelezettség." A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, a Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának. A személyes adatok európai unión belüli védelmének átfogó megközelítése, COM(2010) 609 végleges, 7. o.

[49] Article 29 Data Protection Working Party - Working Document 01/2011 on the current EU personal data breach framework and recommendations for future policy developments (WP184), 10. o.

[50] Uo. 9. o.

[51] Data breach notifications in the EU, 6. o.

[52] Mivel az adatfeldolgozás "az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése", az adatfeldolgozó pedig az adatkezelő megbízásából végzi a személyes adatok feldolgozását (Vö. Infotv. 3. § 9-10., 17-18. pont), a tényleges tevékenység az adatfeldolgozónál realizálódik.

[53] GDPR 33. cikk (2) bek.

[54] Ld. az Infotv. 15. § (1a)-(1b) bekezdéshez fűzött indokolását.

[55] A [86] preambulumbekezdés ugyan utal erre, de a normaszövegben nincs a tájékoztatás tartalmi elemei között felsorolva.

[56] Bíró - Szádeczky - Szőke: i.m. 48. o.

[57] Eht. 156. § (6) bek.

[58] Ahogy az egyik forrás fogalmaz: "Selective to be Effective", Barcelo - Traung: i.m. 99. o.

[59] Dr. Ádám Szilveszter, a NMHH Hírközlés Felügyeleti Főosztályának főosztályvezető-helyettesétől kapott tájékoztatás alapján.

[60] A tipikus ügyek közé tartoznak - ugyancsak az NMHH tájékoztatása alapján - az alábbi esetek: a postázási/címzési hiba miatt az előfizetőnek címzett küldemény egy másik előfizetőhöz érkezik; az ügyfélszolgálat által írt válaszlevélben benne marad más előfizető adata, vagy a szolgáltatók összecserélnek hasonló nevű előfizetőket; vagy az informatikai rendszer hibája miatt az online ügyfélszolgálaton a bejelentkezett előfizető más személy adatait látja a sajátja helyett.

[61] Amint említettem korábban, a nagyjelentőségű esetek valójában ritkák, egy-egy szolgáló akár évekig elkerülheti ezeket.

[62] További fontos, de e tanulmányon túlmutató elemzés is indokolt lenne e témakörben. Más európai hatóságok gyakorlatának elemzése ennél árnyaltabb képet is mutathatna.

[63] Data breach notifications in the EU, 33. o.

[64] A szabályozás a hírközlési szolgáltatók számára a jelenlegi 24 órás határidő lazításaként jelentkezik majd.

[65] GDPR [87] preambulumbekezdés

[66] A titkosítás és más kimentési okok incidens-bejelentési rendszerben elfoglalt helyéről és részletes kritikájáról ld. Mark Burdon-JasonF.Reid-RouhshiLow:Encryptionsafehar-bours and data breach notification laws. Computer Law and Security Review, 2010. 5. sz., http://eprints.qut.edu.au/37693/1/coversheet_37693.pdf (2017.01.22), 520-534. o.

[67] Hasonló további esetköröket tartalmaz a 29. cikk alapján létrehozott adatvédelmi munkacsoport - 03/2014 sz. véleménye a személyes adatok megsértése bejelentéséről (WP213).

[68] Bényi: i.m.

[69] Ld. Bényi Orsolya: Az adatvédelmi incidens jogi környezete, és a kapcsolódó tájékoztatási és nyilvántartási kötelezettség kihívásai című konferenciaelőadását az ORFK "Belső adatvédelmi felelősök konferenciája 2016." című konferencián 2016. november 10-én

Lábjegyzetek:

[1] A szerző adjunktus, csoportvezető, PTE ÁJK Közigazgatási Jogi Tanszék Informatikai és Kommunikációs Jogi Csoport.

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére