Az adatvédelmi jogsérelmekről egyszerűen – Az elveszett (és megkerült) pendrive

A személyes adatok védelmének egyik fontos vetületét képezi a személyes adatok biztonsága. Az, aki mások személyes adatait nem kizárólag személyes vagy otthoni (magáncélú) tevékenységei körében kezeli, köteles az adatokat megóvni – egyebek mellett – a törléstől, megváltoztatástól, illetéktelen hozzáféréstől. A bankkártyánk PIN-kódját is védjük, teszünk róla, hogy véletlenül se tudhassák meg mások. Ha pedig mégis kitudódik a kód, akkor azt gyorsan megváltoztatjuk. Abban az esetben, ha a kártyánk tűnik el, rögtön letiltjuk azt. Ezzel igyekszünk megelőzni a hátrányos következményt: azt, hogy valaki akaratunk ellenére felhasználja a kártyánkkal elérhető pénzt.

Tulajdonképpen nem vár el mást az adatvédelmi rendelet és a hazai adatvédelmi törvény sem, mint ehhez hasonló körültekintést, elővigyázatosságot, amikor személyes adatot kezelünk. Azaz, tegyünk meg minden tőlünk telhetőt, hogy a ránk bízott személyes adat ne kerüljön ki az ellenőrzésünk alól. Amennyiben feltételezhetően illetéktelenek tudomására jutott, intézkedjünk annak érdekében, hogy többen ne ismerhessék meg vagy használhassák fel az érintett személyes adatot, és a jövőben hasonló eset, incidens ne fordulhasson elő. Mindemellett pedig jelentsük a hazai „adatvédelem őre”, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) részére a történteket.

Sokszor tapasztaljuk azt, hogy amikor adatvédelmi jogsértésekre példát kell említeni, a legtöbbeknek valamilyen szofisztikált adathalászat, filmbe illő adatlopás, izgalmas hacker támadás jut eszükbe, pedig ennél jóval hétköznapibb esetekre is gondolhatunk. Példa lehet rá a területi képviselő autójából elemelt céges laptop vagy tablet, amin fellelhetők az ügyfelek adatai, esetleg az üzletkötő véletlenül ottfelejtett telefonja, amiben megtalálhatók az ügyfelek elérhetőségei, válasz email-ek kitöltött adatlapokkal, egy-egy már megkötött szerződés lefényképezett oldalai. Mindez még akkor is adatvédelmi jogsértésnek, vagy – ahogy a rendelet fogalmaz – incidensnek minősül, ha kellően bonyolult jelszavas védelemmel vannak ellátva az eszközök és nem csak a legnépszerűbb jelszavak közül valamelyikkel, mint például az 123456, qwerty, jelszo vagy szerelem.

Ugyanúgy adatvédelmi incidensnek minősül egy elhagyott pendrive is, ahogy ez megesett a Budapesti Rendőr-főkapitányságon (BRFK). Történt ugyanis, hogy egy vidéki utazás alkalmával az egyik munkatárs elhagyott egy pendrive-ot, amin a teljes állomány, 1733 fő személyes adatai voltak megtalálhatók, többek között név, beosztás, születési dátum, TAJ-szám. Az adathordozó és a rajta található fájlok semmilyen védelemmel nem voltak ellátva. Az említett példa bárkivel előfordulhat, ezért is fontos tisztában lenni azzal, hogy milyen kötelezettségei vannak az általános adatvédelmi rendelet alapján az adatok kezeléséért felelős szervezetnek. A legelső és legfontosabbnak tekinthető kötelezettség: mindent tőlünk telhetőt megtenni, hogy ne forduljon elő ilyen helyzet, és felkészülni rá, ha mégis bekövetkezik.

Az adatvédelmi jogsértések megelőzésének egyik fontos eszköze, hogy az adathordozó eszközök (laptop, tablet, mobiltelefon, pendrive, külső merevlemez, stb.) számon legyenek tartva és rendelkezzenek jelszavas védelemmel vagy más módon titkosítva legyenek a rajta megtalálható személyes adatok. Így az eszköz eltűnése esetén is megelőzhető a jogsérelem. Az említett rendőrségi esetben, ilyen adatok birtokában ugyanis könnyen vissza lehet élni az érintettek személyazonosságával. Logikus elvárás az adatkezelő irányába, hogy tegyen meg mindent a további jogsérelem elhárítása érdekében vagy igyekezzen orvosolni azt, majd az eset körülményeit kivizsgálni. Jelen ügy kapcsán a rendőrség annyit tehetett, hogy a munkatárs vidéki tartózkodásának helyén, az útjának állomásain kerestette az eszközt. (Abban az esetben viszont, ha mondjuk belépési azonosítók és jelszavak is az adatok között szerepeltek volna, akkor a jelszavak megváltoztatásáig a belépés átmeneti felfüggesztése is elvárás lett volna.)

Jogszabályi kötelezettség, hogy az adatvédelmi incidensről nyilvántartást vezessen az adatkezelésért felelős szervezet. (Az adatvédelmi incidensek nyilvántartását az adatvédelmi hatóság kérésére be kell tudni mutatni.) Ha nincs ilyen nyilvántartás, az már önmagában jogsértés. A bekövetkezett incidenst nem elég nyilvántartani, hanem ki is kell vizsgálni: mi történt, milyen jellegű és milyen számú adatot, illetve hány személyt érint az eset. Az incidens felismerését követően haladéktalanul intézkedni kell annak orvoslása és az abból eredő hátrányok kiküszöbölése, enyhítése érdekében.

A nyilvántartási kötelezettségen túl bejelentési kötelezettsége is van az adatkezelőnek, ami csak abban az esetben mellőzhető, ha valószínű, hogy az incidensnek semmilyen kockázata nincs az érintettekre nézve. Az incidensből eredően az érintetteket fenyegető következmények (pl. anyagi veszteség, személyiséglopás, hírnévrontás) azonosítása és mérlegelése alapján kell tudni eldönteni, hogy van-e bejelentési kötelezettség. A szabályozás az adatvédelmi incidensek tekintetében három kockázati kategóriát különböztet meg. A nem kockázatos incidenseket nem szükséges bejelenteni, de akkor is nyilvántartásba kell venni. A kockázatosnak ítélt esetekben az adatvédelmi hatóságot az incidens felismerését követően, késedelem nélkül, de legkésőbb 72 órán belül értesíteni kell. Magas kockázatú incidensek esetén pedig, nem csak nyilvántartásba kell venni és haladéktalanul értesíteni a hatóságot, hanem gondoskodni kell az érintettek tájékoztatásáról is. A BRFK esetében megindított hatósági eljárás megállapította, hogy a pendrive védelme érdekében nem tett meg mindent a szervezet, az ilyen eszközök használatára vonatkozóan szabályokat nem alakított ki, biztonsági előírások nem voltak, amivel csökkenteni lehetett volna az adatvédelmi incidensek esélyét, kockázatát és – bár megfelelő módon kivizsgálta az esetet, de – bejelentési kötelezettségének nem tett időben eleget, így végül 5.000.000.- Ft összegű adatvédelmi bírságot szabott ki a NAIH.

Adatvédelmi incidens esetén aligha mellőzhető adatvédelmi szakember igénybevétele, sőt, ha van a szervezetnél adatvédelmi tisztviselő, akkor őt be kell vonni. Az incidens kezelésébe javasolt bevonni informatikust és az incidenssel érintett egység vagy szakterület vezetőjét. A hatékony incidenskezelés ugyanis csapatmunka. Ráadásul az idő szorításában kell cselekedni, ezért is mondják, hogy ilyen helyzetben minden másnál fontosabb a hozzáértő higgadtság. Egy incidens kapcsán gyors és pontos helyzetfelismerésre van szükség, amit határozott lépéseknek kell követni. Mindez nem pusztán a jogszabályi kötelezettségnek való megfelelés miatt fontos, hanem a helyzet orvoslására időben megtett megfelelő intézkedésekkel az incidensből eredő következmények is sok esetben megelőzhetők, a következmények súlya mindenképp csökkenthető. A történet utóéletéhez hozzátartozik, hogy az ominózus adathordozó a NAIH vizsgálatát követően előkerült (a vidéki úton használt szolgálati gépjárműben találták meg). Mindez viszont már nem befolyásolta az adatvédelmi hatóság határozatát, mert a döntés még a pendrive előkerülése előtt megszületett.

 

A fenti tartalom tájékoztató jellegű, s így nem minősül jogi tanácsadásnak. Bármely probléma részletes ismeretének hiányában nem lehetséges az adott kérdésre vonatkozó válaszként értelmezni. A leírtak teljeskörűsége és időbeli helytállósága tekintetében felelősséget nem tudunk vállalni. Ennek megfelelően az itt felvázolt vélemények és következtetések módosulhatnak, különösen egy konkrét tényállás ismeretében. A fentiek elolvasása nem teremti meg az alapját ügyvéd-ügyfél jogviszonynak, így ezen tájékoztató jellegű információk felhasználásából származó bármilyen kárért, elmaradt haszonért felelősséget sem tudunk vállalni. Javasoljuk, hogy minden esetben vegye fel a kapcsolatot irodánkkal.