Az adatvédelmi incidensről, annak lényegéről röviden

A digitalizáció fejlődésével a személyes adatok kezelése ma már szinte minden vállalkozás, intézmény és magánszemély mindennapi működésének részévé vált. Az online ügyintézés, a felhőalapú rendszerek, az elektronikus levelezés és a különböző adatbázisok használata ugyan jelentősen megkönnyíti a működést, ugyanakkor egyre nagyobb adatvédelmi kockázatokat is hordoz. Az elmúlt években világszerte és Magyarországon is számos olyan eset került nyilvánosságra, amikor személyes adatok illetéktelenekhez kerültek, elvesztek vagy nyilvánosságra jutottak.

Az adatvédelmi incidens ma már nem kizárólag nagyvállalatokat érintő probléma. Egy rosszul címzett e-mail, elveszett laptop vagy feltört ügyféladatbázis ugyanúgy incidensnek minősülhet, mint egy nagyszabású kibertámadás. Éppen ezért különösen fontos tisztában lenni azzal, hogy mit tekint a GDPR személyes adatnak és adatvédelmi incidensnek, valamint milyen kötelezettségek terhelik az adatkezelőt ilyen esetben.

A GDPR alapján személyes adatnak minősül minden olyan információ, amely alapján egy természetes személy közvetlenül vagy közvetve azonosítható. Ilyen lehet például a név, lakcím, telefonszám, e-mail-cím, rendszám, IP-cím vagy akár egy fénykép is.

A GDPR 4. cikk 12. pontja szerint adatvédelmi incidensnek minősül a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ilyen lehet például egy ügyféladatbázis feltörése, egy pendrive elvesztése, egy rossz címzettnek elküldött e-mail vagy egy zsarolóvírus-támadás. Nem minősül ugyanakkor minden informatikai hiba adatvédelmi incidensnek. Ha például egy rendszer átmenetileg karbantartási célból leáll, de személyes adat nem sérül és illetéktelen hozzáférés sem történik, az önmagában még nem feltétlenül incidens.

A köznyilvánosság előtt ismert példák közé tartoznak nagy közösségi oldalak és nemzetközi vállalatok adatszivárgásai, amikor több millió felhasználó adatai kerültek illetéktelenekhez. Magyarországon is előfordultak jelentős adatvédelmi incidensek, amelyek miatt a Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatot indított.

De mégis mi a teendő, ha megtörténne egy incidens? Amennyiben, adatvédelmi incidens történik, az adatkezelőnek haladéktalanul intézkednie kell. Első lépésként célszerű részletes jegyzőkönyvet készíteni az incidens körülményeiről, majd kockázatértékelést kell végezni annak megállapítására, hogy az incidens milyen hatással lehet az érintettek jogaira és szabadságaira. Ha az incidens valószínűsíthetően kockázattal jár, azt legkésőbb 72 órán belül be kell jelenteni a NAIH részére. Súlyosabb esetben az érintetteket is tájékoztatni kell, különösen akkor, ha az incidens magas kockázattal jár számukra.

Az incidenskezelési kötelezettségek elmulasztása komoly következményekkel járhat. A NAIH jelentős adatvédelmi bírságot szabhat ki, emellett reputációs kár, ügyfélvesztés és polgári jogi igényérvényesítés is felmerülhet.

Az adatvédelmi incidens ma már a digitális működés egyik legjelentősebb kockázati tényezője. A GDPR szigorú előírásai miatt az adatkezelőknek nemcsak a megelőzésre, hanem a gyors és szabályszerű incidenskezelésre is fel kell készülniük. A megfelelő dokumentáció, a tudatos adatkezelési gyakorlat és a gyors reagálás jelentősen csökkentheti a jogi és pénzügyi következményeket.

Napjainkban szinte bárkivel előfordulhat adatvédelmi incidens, legyen szó kisvállalkozásról, multinacionális cégről vagy akár egyéni adatkezelőről. A legfontosabb szempont ezért a tudatosság, a megfelelő felkészültség és a jogszabályi kötelezettségek ismerete.