Adatvédelmi incidensek: amikor baj történik az adatokkal

 

1. Mi az adatvédelmi incidens – és miért számít?

Adatvédelmi incidensről akkor beszélünk, amikor a személyes adatok biztonsága megsérül. Ez lehet jogosulatlan hozzáférés, szivárgás, módosítás, vagy adatvesztés. A GDPR 33. cikkelye kimondja: ha az incidens valószínűsítetten kockáztatja az érintettek jogait és szabadságait, az adatkezelőnek azt legkésőbb 72 órán belül jelentenie kell a felügyeleti hatóságnak.

Miért fontos ez? Mert a biztonságos adatkezelés nem csak technikai kérdés: az emberek bizalma, a szervezetek hitelessége, sőt jogi felelőssége is múlik rajta.

 

2. 3 napod van – és minden elromolhat: a 72 órás szabály

Ha kiderül, hogy az adatokhoz jogosulatlanul hozzáfértek, az adatkezelőnek késedelem nélkül, de legfeljebb 72 órán belül jelentenie kell az esetet a NAIH felé.

A bejelentésnek tartalmaznia kell:

·         az incidens természetét,

·         az érintettek körét és számát,

·         az érintett adatok körét,

·         a bekövetkezett hatásokat,

·         és a megtett vagy tervezett intézkedéseket.

A 72 órás határidő nem az elhallgatásra adott idő. Aki nem jelenti be időben, vagy elhallgatja a lényeges részleteket, szankciókra számíthat.

 

3. Igazi példák – amikor elromlott valami

Pendrive a McDrive-ban

Egy élelmiszer-értékesítő cég munkatársa elvesztett egy pendrive-ot, amelyen 1733 érintett személyes adatai szerepeltek. A média azonnal felkapta az ügyet, a NAIH vizsgálatot indított. Az adatok név, telefonszám, e-mail cím, és megrendelési információk voltak. A szervezet nem használt titkosítást.

Iskolai honlapon kint maradt a hátrányos helyzetű gyerekek listája

Egy iskola honlapján tévedésből nyilvános lett egy olyan dokumentum, amely hátrányos helyzetű tanulók adatait tartalmazta. A szülők bejelentése nyomán indult hatósági vizsgálat.

Takarító kidobja az egészségügyi iratokat

Egy takarítószolgálat munkatársa több táska, nem selejtezett, aktív betegadatot tartalmazó iratot talált, és a szemétládába dobta. Az ügy nyilvánosságot kapott, a kórház felelősségvizsgálatot indított.

 

4. Miért kaptak bírságot? – A hatósági reakciók

A NAIH nem csupán pénzbüntetést szabhat ki, hanem részletes jelentést és korrekciós lépéseket is elvár.

A leggyakoribb hiányosságok:

·         nincs incidenskezelési szabályzat,

·         nincs dokumentálva az eset,

·         nem tájékoztatják az érintetteket,

·         nem titkosítják a hordozót,

·         a belső eljárás nem követi a GDPR-t.

A NAIH az utóbbi években több határozatban is kiemelte, hogy a dokumentációs kötelezettség elmulasztása önmagában is jogsértés.

 

5. Mit tanulhatunk belőle?

Ha te vagy az adatkezelő:

·         Legyen incidenskezelési szabályzatod.

·         Dokumentálj minden eseményt és döntést.

·         Képezd a munkatársaidat – nem csak az IT-t!

·         Titkosíts minden hordozható eszközt.

Ha te vagy az érintett:

·         Tudd, hogy jogod van tájékoztatást kérni.

·         Ne csak „elfogadd” a beállításokat – kérdezz rá, mit csinálnak az adataiddal.

·         Értesítsd a hatóságot, ha súlyos szabálytalanságot észlelsz.

 

6. Adatbiztonság a gyakorlatban – 7 tipp bárkinek

1.      Titkosítsd a pendrive-ot: Használj olyan ingyenes szoftvert, mint a VeraCrypt vagy BitLocker, így az adataid akkor is védettek, ha az eszköz elveszne.

2.   Ne tárolj érzékeny adatokat nyilvános felhőkben jelszó nélkül. Válassz biztonságos felhőszolgáltatót, ahol lehetőség van kétlépcsős hitelesítésre.

3.  Használj kéttényezős azonosítást (2FA): Banki alkalmazásoknál, közösségi oldalakon, munkahelyi rendszereken ez alap.

4.      Rendszeresen frissítsd a szoftvereket. Az elavult programok biztonsági réseket jelentenek.

5.  Ne hagyj nyomtatott adatot közös helyiségekben. A nyomtatóra küldött, de ottfelejtett dokumentum is adatvédelmi incidenshez vezethet.

6.      Zárd le a számítógépet, ha otthagyod. Akkor is, ha csak a kávéig mész el.

7.      Tudd, mit kell tenned baj esetén. Ismerd meg a szervezeted adatvédelmi felelősét, és tudd, kihez fordulhatsz.

7. Az adatbiztonság, mint bizalmi tőke

Egy adatkezelési incidens nemcsak hatósági probléma. Az érintettek bizalmát is rombolja. A digitális korszakban az információs biztonság ugyanannyira része a márka reputációjának, mint a marketing.

Aki átláthatóan, felelősségteljesen kezeli a hibákat, hosszútávon megerősíti a felhasználói bizalmat. Aki hallgat, vagy elkeni a tényeket, elveszti azt.

 


Megjegyzések

Megjegyzés küldése

Népszerű bejegyzések ezen a blogon

Rólam

  Dr. Makó Viktor vagyok , jogász, igazságügyi igazgatási és kormányzás–vezetés tudományi végzettséggel rendelkező szakember. Több mint 19 éve dolgozom a közigazgatásban, így széleskörű gyakorlati tapasztalattal rendelkezem az állami működés, a jogalkalmazás és a közszolgálat mindennapi kihívásairól. Jelenleg posztgraduális tanulmányokat folytatok adatvédelem, adatbiztonság és kiberjog területén. Szakmai érdeklődésem középpontjában a digitális közigazgatás, az állami adatkezelés, a technológiai fejlődés szabályozási kihívásai, valamint az információs társadalom jogi és biztonsági dimenziói állnak. Kutatásaim az információs tér és a kibertér biztonságos, ellenállóképes alkalmazásának lehetőségeit vizsgálják, különösen az állam és a jog rendszeréből, valamint egy tágabb társadalmi–biztonsági kontextusból kiindulva. Érintem az információs tér szabályozásának elméleti és gyakorlati kérdéseit, a hálózatbiztonság jogi kereteit, valamint konkrét jelenségeket is, mint a közösségi média...
További információk

Mi az Államkód?

Üdvözlöm az Államkódon – egy olyan szakmai blogon, amely a digitális közigazgatás, az adatvédelem, a kiberbiztonság és a szabályozás határterületeit és összefüggéseit vizsgálja. Az oldal célja nem csupán az informálás, hanem az is, hogy reflexióra ösztönözzön. Olyan kérdéseket teszünk fel, mint például: -           Hogyan változik az állam szerepe a digitális korban? -           Miként alakul a hatalomgyakorlás, ha az adat az új nyersanyag? -           Mi a helye az egyénnek, a magánszférának és az állami kontrollnak a kibertérben? A digitális állam nem pusztán technológiai rendszer, hanem szabályok, jogosultságok, kockázatok és döntések összetett hálózata. Célom, hogy közérthető, de szakmailag megalapozott módon mutassam be: hogyan találkozik egymással az adat, a hatalom, a biztonság és a közigazgatási logika. A blog fókuszában többek közö...
További információk

A sötét minták mögött – Hogyan manipulálnak minket az online felületeken?

  „Elfogadom.” „Beállítások.” „Mégse.” Ismerősek ezek a gombok? És észrevetted már, hogy néha szinte lehetetlen megtalálni a „nem” opciót? Ez nem véletlen. Ez a digitális tér sötét oldala: a sötét minták világa. Mi az a „sötét minta”? A „sötét minták” ( dark patterns ) olyan tudatos tervezési technikák, amelyek célja, hogy a felhasználót rávegyék valamire, amit magától nem tenne meg – például hogy hozzájáruljon adatainak megosztásához, feliratkozzon egy hírlevélre, vagy ne tudjon könnyen leiratkozni. A fogalmat Harry Brignull UX-szakértő vezette be még 2010-ben, de azóta a digitális jog és adatvédelem egyik forró témájává vált – különösen az Európai Unió szabályozási fellépései nyomán. Tipikus példák – te is találkoztál velük Elrejtett visszautasítás : A cookie-elfogadás gomb hatalmas, de a „csak szükséges sütik” opció alig látszik vagy több lépés mögött van. Előre bejelölt hozzájárulás : Már ki van pipálva, hogy hírlevelet kérsz, vagy beleegyezel...
További információk