Rövid elméleti bevezetőm szerint az adatvédelmi incidens fogalma a GDPR-ból a következő: "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi".
Az adatvédelmi incidensekhez kapcsolódó adatkezelői kötelezettségek a GDPR alapelvei közül az elszámoltathatóság elvéhez, valamint az integritás és bizalmas jelleg elvéhez kapcsolódnak. Az integritás és bizalmas jelleg elve értelmében a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve ("integritás és bizalmas jelleg"). Az elszámoltathatóság elvének megfelelően az adatkezelő felelős a személyes adatok kezelésére vonatkozó alapelveknek történő megfelelésért, és képesnek kell lennie e megfelelés igazolására. Az elszámoltathatóság alapelvvé tételével komoly előrelátást és tudatosságot vár el a GDPR az adatkezelőktől az adatkezelési folyamatok megtervezésétől az adatkezelés befejezéséig annak érdekében, hogy az adatkezelő az adatkezelés minden pillanatában el tudjon számolni azzal, hogy adatkezelése megfelel a GDPR előírásainak.
Az adatkezelőnek nyilvántartást kell vezetnie minden incidensről (a "kicsikről" és a "nagyokról" is), benne olyan fontos részletkérdésekkel, hogy milyen hatása volt a szervezetre és másokra a biztonság sérülése, és milyen intézkedéseket tett meg az adatkezelő a kárelhárítás érdekében. Ha az incidens bizonyos kockázatot jelent természetes személyekre, úgy azt be kell jelenteni 72 órán belül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH). A bejelentésben ismertetni kell legalább az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az incidensek nagyobb része véletlenszerű, egyszerű emberi hiba és gondatlanság: például személyes adatot (nevet) tartalmazó e-mail címekkel való körlevélküldés úgy, hogy a címzetteket nem titkos másolatban helyezzük el, hanem mindenki látja kéretlenül is, rá nem tartozó módon is az összes többi címzett e-mail címét (ha az e-mail cím általános jellegű, vagyis például info@ vagy ugyfelszolgalat@ vagy jegyzo@ kezdetű, úgy nem szükséges titkos másolatba tenni, hiszen ezek nem személyes adatok). A szándékolt és jogellenes incidensek zöme érdekes módon péntek délutánra esik, egyrészt a leegyszerűsítő módon most hackertámadásoknak titulált változatos eljárásoknak "jót tesz" a hét vége felé már elalvó emberi figyelem (kéretlen e-mailekben elhelyezett linkekre kattintás, mellyel aktiválódik a támadás), illetve a klasszikus munkarend, vagyis hogy a hétvégi szünet után hétfő reggel észlelik a támadások következményeit.
A bizonyos kockázattal járó, kötelező bejelentés alá eső incidensek NAIH-hoz történő bejelentéskéslekedése önmagában bírságfaktor: utalok itt a BRFK elhíresült adatvédelmi bírságára, amelyet alapvetően azért kaptak, mert késlekedtek a bejelentéssel, és nem azért, mert nem tettek meg mindent a hiba feltárására vagy a kárenyhítésre (egy dolgozók bérjegyzékeit tartalmazó pendrive tűnt el, majd került elő hetek múlva). A magas kockázatú incidensről magukat az érintetteket is tájékoztatni kell: egy bank, egy biztosító, egy digitális szolgáltató vagy egy hatóság, ahonnan ügyfelek ezreinek számlaszáma, jelszava vagy más személyes adata szivárgott ki, minimum a honlapján köteles az érintetteket (ügyfeleit) tájékoztatni.
A NAIH-hoz bejelentett incidensek száma a következőképpen alakult az elmúlt években:
Forrás: dr. Eszteri Dániel/NAIH
- 35/36 -
A bejelentők megoszlása és az incidens jellege pedig a következőképpen alakult:
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
