Blog
Blog » ADATVESZTÉS, ADATLOPÁS – NE SZÓLJ SZÁM…?
ADATVESZTÉS, ADATLOPÁS – NE SZÓLJ SZÁM…?
09 April 2018
Úgy gondolod, hogy ha cégednél adatvesztés, adatlopás vagy egyéb incidens történik, akkor azt jobb titokban tartani? Tévedsz, ugyanis ha az incidens kockázattal jár az érintettek jogaira nézve, akkor be kell jelentened az Adatvédelmi Hatóságnak, ha pedig ez a kockázat magas, akkor az érintetteket is értesítened kell. Rövid cikkünkben 5 olyan tényezőt említünk, amelyet meg kell fontolnod, amikor döntesz arról, hogy szólj-e az incidensről.
1. A céged jellemzői
Egy adatvédelmi incidens kockázat-elemzését érdemes a „saját házad táján” kezdeni és átgondolni a céged működését, különösen pedig az üzleti folyamataidat, illetve, hogy milyen személyes adatokat tárolsz.
Nyilvánvaló ugyanis, hogy egy adatvédelmi incidens kockázata nem ugyanakkora egy gyártó cégnél, aki csak üzleti ügyfelekkel áll kapcsolatban, mint egy webshopnál, aki fogyasztók banki adatait tárolja.
Vagy hogy egy másik példát említsünk: képzeld el, hogy egy kibertámadás miatt órákon át nem tudod elérni az általad tárolt adatokat. Ha ez csak abban akadályoz meg, hogy ki tudd küldeni a heti hírleveledet, valószínűleg az érintettek nem fognak kardjukba dőlni. Ha viszont egészségügyi szolgáltatóként több órán keresztül nem férsz hozzá a betegeid kartonjaihoz, nem kell magyarázni, hogy ennek milyen súlyos következményei lehetnek.
2. Az incidens típusa
Az adott incidens típusa is befolyásolhatja, hogy milyen súlyosak a következményei. Nincs viszont „aranyszabály”, nem lehet ugyanis kijelenteni, hogy egy bizalmassági incidens, amikor illetéktelenek férnek hozzá az adataidhoz biztosan súlyosabb mint egy rendelkezésre állási, amikor te magad nem férsz hozzá az adataidhoz.
Például, ha partiszervező céged van és az egyik alkalmazottad véletlenül törölte a VIP kontakt listát, ez számodra elég súlyos következmény, viszont az ügyfeleidnek már kevésbé nagy probléma. Viszont, ha ugyanez a VIP kontakt lista felkerül egy nyilvános honlapra, el tudom képzelni, hogy mennyire kiakadnak az ügyfeleid, hiszen így minden újságíró tudni fogja, hol érje el őket.
Másrészről viszont, ha illetéktelen személyek férnek hozzá egészségügyi adatokhoz, ennek mások a következményei mintha ezek az egészségügyi adatok visszaállíthatatlanul törlődének egy incidens során.
3. A személyes adat típusa, érzékenysége
A kockázatelemzés során kulcsfontosságú tényező az incidens során érintett személyes adatok típusa, illetve érzékenysége.
Alapigazság, hogy minél érzékenyebb a veszélyeztetett személyes adat (pl. ujjnyomat), annál magasabb az adatvédelmi incidens kockázata. Egy név és e-mail cím nyilvánosságra hozatala ugyanakkor normál körülmények között nem okoz jelentős kárt.
Illetve, ha több személyes adat kerül ki, például személyazonosságra utaló és banki azonosító adatok kombinációja, ennek valószínűsíthetően nagyobb a kockázata mintha csak egy adatot (pl. lakcím) hoznak nyilvánosságra.
4. A következmények súlyossága az érintett szempontjából
Egy adatvédelmi incidens lehetséges következményei széles skálán mozoghatnak kezdve a hírnévromlástól a megaláztatáson át a súlyosabb következményekig, mint például a csalás vagy a személyazonossággal való visszaélés.
A lehetséges következményeket befolyásolhatja a sérült személyes adat típusa (pl. érzékeny adat), de például bizalmassági incidens esetén az is, hogy kinek a kezébe kerül az adat.
Értelemszerűen súlyosabb a következménye annak, ha az adathoz például egy hacker fér hozzá, akinek vélhetően ártó szándéka van. Világos, hogy az is adatvédelmi incidensnek számít, ha egy arra nem jogosult személlyel közlik az adatot, viszont ha ez a címzett értesíti az adatkezelőt és együttműködik, ez az érintett számára feltehetően nem lesz sérelmes.
5. Az incidenssel érintettek száma
Az, hogy hány személy érintett az adatvédelmi incidensben, befolyásolja a kockázat nagyságát. Általánosságban elmondható, hogy minél magasabb az érintettek száma, annál súlyosabbnak minősül az incidens.
Könnyű belátni, hogy nem ugyanazok a következményei annak, ha egy dolgozó személyes adatait cégen belül véletlenül nem a megfelelő szervezeti egységhez továbbítják, illetve ha az összes ügyfeled kapcsolattartási és banki adataihoz hozzáfér egy illetéktelen személy.
Ugyanakkor bizonyos esetekben az incidens egy adott személyre nézve is rendkívül súlyos következményekkel járhat, például ha valamilyen rendkívül érzékeny adatához (pl. szexuális hovatartozás) férnek hozzá.
A fentieket összefoglalva, ha döntést kell hoznod arról, hogy értesítsd-e az Adatvédelmi Hatóságot egy incidensről, érdemes legalább a fenti szempontokat átgondolni. Fontos azonban szem előtt tartani, hogy nincs „aranyszabály” és minden esetet egyedileg kell megvizsgálni.
-
WE ARE 15!
Recently we celebrated our 15th Anniversary, which is a very important milestone for us. Looking back, our Office went through a long improvement until the formation of our present profile: providing legal support in domestic and international commercial law issues and helping our clients doing business in Hungary.
Read more » -
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more »