A Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlatában számos olyan eseti döntéssel találkozhatunk, amelyekben a hatóság valamely adatvédelmi incidens miatt alkalmazott szankciót az adatkezelővel szemben.

Az adatvédelmi incidens a GDPR fogalomrendszere szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Látható tehát hogy minden esetben valamely biztonsági eseményről beszélünk, sőt a „minden bogár rovar…” logikát követve azt is kijelenthetjük, hogy minden adatvédelmi incidens egyben biztonsági esemény is[1], ugyanakkor ez fordítva már nem igaz.

A téma kapcsán a legtöbben rögtön hackertámadásra, vagy zsarolóvírusra asszociálnak, amely ugyan nem helytelen, de fontos leszögezni, hogy az incidensek legnagyobb hányada puszta emberi figyelmetlenség és nem szándékos külső behatás eredményeképpen következik be. A NAIH vonatkozó összefoglalója[2] szerint pl. a leggyakoribb incidens-bejelentéseket a véletlen félrepostázások képezik, tehát az az esetkör, amikor pl. egy személyes adatokat tartalmazó csatolmányt tévedésből nem annak a címzettnek küldenek meg, amelynek azt szánták. Szintén igen gyakori eset a körlevelek küldése olyan módon, hogy a többi címzett nem titkos másolatban van rajta a levélen, hanem mindenki mindenki számára látható. Lehetnek olyan helyzetek, amikor ez meglehetősen kellemetlen az érintettek számára, gondoljunk csak pl. egy egészségi állapotra vonatkozó adatokkal kapcsolatos körlevélre a háziorvosunktól, vagy pl. egy pályázat elbírálásáról szóló körlevélre szociálisan rászorulók számára.

Függetlenül attól, hogy az incidens milyen formában valósul meg, több mint valószínű, hogy felkészültségi szinttől függetlenül előbb-utóbb minden szervezetet érinteni fog. Ez egyrészt abból fakad, hogy nincsen olyan biztonsági rendszer, amely minden lehetséges fenyegetést 100 %-os hatásfokkal képes lenne elhárítani (ld. hackertámadás), másrészt abból, hogy mindenhol emberek dolgoznak, akik néha hibáznak (ld. félreküldött email). Ha pedig már megtörtént az incidens, akkor az adatkezelőnek több feladata is van.

Először is szükséges azonnal kockázatelemzést végeznie, amelynek eredményeképpen megállapítható, hogy be kell-e jelenteni az incidenst a NAIH részére, illetve esetleg kell-e tájékoztatni arról külön az érintetteket is. Fontos, hogy az incidens bejelentése csak akkor maradhat el, ha az nem jár kockázattal az érintett személyekre nézve. Ez mindig csak a konkrét eset mérlegelése útján dönthető el. A bejelentést az incidens észlelését követő 72 órán belül kell megtenni. Sok adatkezelő – tévesen – egyfajta mentsvárként tekint arra a körülményre, hogy a 72 óra az észleléstől és nem az incidens bekövetkeztétől számítandó. Ugyanakkor ez csalfa remény, mert a GDPR szabályaiból levezethető az adatkezelő azon kötelezettsége is, hogy a bekövetkezett incidenseket haladéktalanul észlelje az általa korábban hozott szervezeti, fizikai és informatikai intézkedések eredményeképpen. Erős a gyanú, hogy a NAIH nem lesz megértő azzal az adatkezelővel szemben, aki hat hónappal a bekövetkezését követően jelenti be az incidenst, arra hivatkozva, hogy azt csak akkor észlelte.

Amennyiben az incidens az átlagosnál nagyobb kockázatot jelent az érintettek jogaira nézve (akár az érintettek nagy száma, akár az adatok különleges jellege, akár valamely egyéb körülmény miatt), akkor szükséges magukat az érintetteket is tájékoztatni arról. Ez minden adatkezelő működése során egy kellemetlen lépés, hiszen egyértelmű reputációs kárt okoz, ugyanakkor a jogsértés elkerülése érdekében meg kell tenni. Fontos, hogy az incidensről való tájékoztatás nem „rejthető el” más tartalmak között, így az a korábban előforduló gyakorlat, mely szerint egy vidám hangvételű marketing körlevél alján rejtjük azt el, 3-as betűmérettel, egyértelműen ellenjavallt.

Tekintve, hogy előbb-utóbb szinte garantálható valamely incidens bekövetkezése bármely olyan szervezet életében, amely személyes adatokat kezel, érdemes bizonyos lépéseket tenni a bekövetkezés esélyének csökkentésére, illetve a hatékony incidenskezelésre. Ez egyébként az adatkezelőnek a GDPR szabályai alapján kötelezettsége is, amely bármikor számon kérhető a felügyeleti hatóság által.

Következzen néhány példa ezekre a lépésekre, a teljesség igénye nélkül:

• biztosítani kell azt, hogy az incidens észlelése megtörténjen. Az információbiztonsági intézkedések mellett ez elsősorban szervezeti, tudatossági kérdés. Ha ugyanis a munkavállalók nem részesültek képzésben arra vonatkozóan, hogy egyáltalán mi az a személyes adat, miért fontos a védelme és mi az az incidens, akkor garantálható, hogy nem fogják észlelni, ha pl. a saját mulasztásuk miatt ilyen következett be (ismét említhető a félreküldött email-ek példája). Ha nem látjuk, hogy probléma van, akkor azt kezelni sem tudjuk.
• A felismerés ugyanakkor önmagában nem elegendő. Világos belső eljárásrendet szükséges létrehozni arra vonatkozóan, hogy kinek, milyen határidővel és milyen módon szükséges riportálni az észlelt incidenst, valamint, hogy annak kezelésében, a kockázatelemzésben és a további döntések meghozatalában mely szervezeti egységek vesznek részt. Fontos azt is hangsúlyozni valamennyi érintett munkatárs részére, hogy az észlelt incidenst – a fent említett 72 óra miatt – azonnal jelezni kell az illetékes kollégának, a „majd jövő hét elején írok róla egy email-t” gyakorlat nem követendő.
• Egyértelmű és konkrét szempontokból álló módszertanra van szükség, amely alapján felmérhető az incidens lehetséges hatása, valamint eldönthető, hogy kell-e bejelentést tenni a hatósághoz, illetve kell-e a tájékoztatni az érintetteket.
• Amennyiben egyes folyamatok külső partnerek bevonásával valósulnak meg (gondoljunk itt az informatikai szolgáltatókra), akkor a vonatkozó szerződésekben, adatfeldolgozói megállapodásokban világos rendelkezéseket kell szerepeltetni arra nézve, hogy az adatfeldolgozó hogyan jár el, ha az ő oldalán következik be incidens, illetve érdemes lehet részletes felelősségi, esetleg kötbér szabályokat is szerepeltetni a szerződésben. A gyakran látott „az adatfeldolgozó segíti az adatkezelőt az incidensek kezelésében” félmondat önmagában nem elegendő.

Végül fontos hangsúlyozni, hogy – mint az adatvédelem számos egyéb területén – az incidensekkel szembeni védekezés és azok kezelése esetében is kéz-a-kézben jár a jogi és az informatikai terület minden adatkezelő szervezetnél. Hiába rendelkezem ugyanis kiválóan megírt jogi dokumentációval, eljárásrenddel, szabályzattal, ha az informatikai rendszereim közben átjáróház jelleggel működnek, és természetesen ennek a fordítottja is igaz.

A két terület napi szintű, koordinált együttműködése nélkül bármely adatkezelő csak félkarú óriás lehet. Egy olyan összetett és folyamatos odafigyelést igénylő témakör kapcsán, mint az adatvédelmi incidensek, ez a mai, egyre inkább digitalizálódó gazdasági környezetben egyszerűen nem engedhető meg.

[1] A 2013. évi L. törvény vonatkozó definíciója szerint biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül

[2] https://www.naih.hu/tudnivalok-az-adatvedelmi-incidensek-kezeleserol

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez