ADATVESZTÉS, ADATLOPÁS – NE SZÓLJ SZÁM…?

2018 Április 09

Úgy gondolod, hogy ha cégednél adatvesztés, adatlopás vagy egyéb incidens történik, akkor azt jobb titokban tartani? Tévedsz, ugyanis ha az incidens kockázattal jár az érintettek jogaira nézve, akkor be kell jelentened az Adatvédelmi Hatóságnak, ha pedig ez a kockázat magas, akkor az érintetteket is értesítened kell. Rövid cikkünkben 5 olyan tényezőt említünk, amelyet meg kell fontolnod, amikor döntesz arról, hogy szólj-e az incidensről.

1. A céged jellemzői

Egy adatvédelmi incidens kockázat-elemzését érdemes a „saját házad táján” kezdeni és átgondolni a céged működését, különösen pedig az üzleti folyamataidat, illetve, hogy milyen személyes adatokat tárolsz.

Nyilvánvaló ugyanis, hogy egy adatvédelmi incidens kockázata nem ugyanakkora egy gyártó cégnél, aki csak üzleti ügyfelekkel áll kapcsolatban, mint egy webshopnál, aki fogyasztók banki adatait tárolja.

Vagy hogy egy másik példát említsünk: képzeld el, hogy egy kibertámadás miatt órákon át nem tudod elérni az általad tárolt adatokat. Ha ez csak abban akadályoz meg, hogy ki tudd küldeni a heti hírleveledet, valószínűleg az érintettek nem fognak kardjukba dőlni. Ha viszont egészségügyi szolgáltatóként több órán keresztül nem férsz hozzá a betegeid kartonjaihoz, nem kell magyarázni, hogy ennek milyen súlyos következményei lehetnek.

2. Az incidens típusa

Az adott incidens típusa is befolyásolhatja, hogy milyen súlyosak a következményei. Nincs viszont „aranyszabály”, nem lehet ugyanis kijelenteni, hogy egy bizalmassági incidens, amikor illetéktelenek férnek hozzá az adataidhoz biztosan súlyosabb mint egy rendelkezésre állási, amikor te magad nem férsz hozzá az adataidhoz.

Például, ha partiszervező céged van és az egyik alkalmazottad véletlenül törölte a VIP kontakt listát, ez számodra elég súlyos következmény, viszont az ügyfeleidnek már kevésbé nagy probléma. Viszont, ha ugyanez a VIP kontakt lista felkerül egy nyilvános honlapra, el tudom képzelni, hogy mennyire kiakadnak az ügyfeleid, hiszen így minden újságíró tudni fogja, hol érje el őket.

Másrészről viszont, ha illetéktelen személyek férnek hozzá egészségügyi adatokhoz, ennek mások a következményei mintha ezek az egészségügyi adatok visszaállíthatatlanul törlődének egy incidens során.

3. A személyes adat típusa, érzékenysége

A kockázatelemzés során kulcsfontosságú tényező az incidens során érintett személyes adatok típusa, illetve érzékenysége.

Alapigazság, hogy minél érzékenyebb a veszélyeztetett személyes adat (pl. ujjnyomat), annál magasabb az adatvédelmi incidens kockázata. Egy név és e-mail cím nyilvánosságra hozatala ugyanakkor normál körülmények között nem okoz jelentős kárt.

Illetve, ha több személyes adat kerül ki, például személyazonosságra utaló és banki azonosító adatok kombinációja, ennek valószínűsíthetően nagyobb a kockázata mintha csak egy adatot (pl. lakcím) hoznak nyilvánosságra.

4. A következmények súlyossága az érintett szempontjából

Egy adatvédelmi incidens lehetséges következményei széles skálán mozoghatnak kezdve a hírnévromlástól a megaláztatáson át a súlyosabb következményekig, mint például a csalás vagy a személyazonossággal való visszaélés.

A lehetséges következményeket befolyásolhatja a sérült személyes adat típusa (pl. érzékeny adat), de például bizalmassági incidens esetén az is, hogy kinek a kezébe kerül az adat.

Értelemszerűen súlyosabb a következménye annak, ha az adathoz például egy hacker fér hozzá, akinek vélhetően ártó szándéka van. Világos, hogy az is adatvédelmi incidensnek számít, ha egy arra nem jogosult személlyel közlik az adatot, viszont ha ez a címzett értesíti az adatkezelőt és együttműködik, ez az érintett számára feltehetően nem lesz sérelmes.

5. Az incidenssel érintettek száma

Az, hogy hány személy érintett az adatvédelmi incidensben, befolyásolja a kockázat nagyságát. Általánosságban elmondható, hogy minél magasabb az érintettek száma, annál súlyosabbnak minősül az incidens.

Könnyű belátni, hogy nem ugyanazok a következményei annak, ha egy dolgozó személyes adatait cégen belül véletlenül nem a megfelelő szervezeti egységhez továbbítják, illetve ha az összes ügyfeled kapcsolattartási és banki adataihoz hozzáfér egy illetéktelen személy.

Ugyanakkor bizonyos esetekben az incidens egy adott személyre nézve is rendkívül súlyos következményekkel járhat, például ha valamilyen rendkívül érzékeny adatához (pl. szexuális hovatartozás) férnek hozzá.

A fentieket összefoglalva, ha döntést kell hoznod arról, hogy értesítsd-e az Adatvédelmi Hatóságot egy incidensről, érdemes legalább a fenti szempontokat átgondolni. Fontos azonban szem előtt tartani, hogy nincs „aranyszabály” és minden esetet egyedileg kell megvizsgálni.