Mi minősül adatszivárgásnak és adatvédelmi incidensnek?
Az adatszivárgás – hivatalos nevén adatvédelmi incidens – az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR) 4. cikkének 12. pontja szerint olyan biztonsági esemény, amely a továbbított, tárolt vagy más módon kezelt személyes adatok megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közléséhez vagy hozzáféréséhez vezet. A magyar jogban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tájékoztatása szerint ez minden olyan esemény, ami a személyes adatok védelmének sérülését eredményezi – akár véletlen, akár szándékos módon.
Az incidens kezelése során két fő irányt kell figyelembe venni: a jogszabályi teendőket és a bekövetkező jogi kockázatokat. Ezeket részletezzük az alábbiakban.
Jogi teendők adatszivárgás esetén
Az incidens azonosítása és kivizsgálása
Az adatkezelőnek minden esetben azonnali lépéseket kell tennie, ha adatvédelmi incidens gyanúja merül fel. Ki kell vizsgálni az eseményt: milyen adatok érintettek, milyen módon történt a hozzáférés, kiket érinthet az esemény, és milyen technikai vagy emberi hiba okozta azt. Ez a GDPR 24. és 32. cikke alapján elvárt gondossági kötelezettség, amely technikai és szervezési intézkedések alkalmazását írja elő a személyes adatok védelmére.
Bejelentési kötelezettség a hatóság felé
Amennyiben az incidens valószínűsíthetően kockázattal jár az érintettek jogaira és szabadságaira, az adatkezelő köteles legfeljebb 72 órán belül bejelenteni azt a felügyeleti hatóságnak. Ez Magyarországon a NAIH. A GDPR 33. cikke szerint a bejelentésnek tartalmaznia kell az incidens típusát, az érintettek számát, a sérült adatok kategóriáját, az adatvédelmi tisztviselő elérhetőségét, a lehetséges következményeket és az elhárításra tett lépéseket.
Ha a bejelentés nem történik meg időben, az adatkezelőnek indokolnia kell a késedelem okát.
Tájékoztatás az érintettek számára
Ha az incidens „valószínűsíthetően magas kockázatot” jelent az érintettek jogaira, az adatkezelő köteles őket is tájékoztatni. A GDPR 34. cikke előírja, hogy a tájékoztatásnak közérthető formában kell történnie, és tartalmaznia kell az incidens jellegét, a sérült adatok típusát, a várható következményeket, valamint a megtett intézkedéseket.
Nem szükséges azonban az érintetteket külön értesíteni, ha az adatok például titkosítottak voltak, és így nem áll fenn a tényleges veszély, vagy ha az adatkezelő utólag olyan intézkedéseket tett, amelyek megszüntették a kockázatot.
Nyilvántartás vezetése
Függetlenül attól, hogy történt-e hatósági bejelentés vagy sem, az adatkezelő köteles nyilvántartást vezetni minden adatvédelmi incidensről. A nyilvántartás célja, hogy dokumentálja az incidens körülményeit, a hatásokat és a megtett lépéseket. Ez a GDPR 5. cikkének 2. bekezdéséből fakadó elszámoltathatósági elv része.
Ajánlott továbbá a belső szabályzatok felülvizsgálata, munkavállalói képzések tartása, rendszeres informatikai auditok végzése, jelszócsere és biztonsági protokollok szigorítása.
Jogi kockázatok és következmények
Felelősség és kártérítés
A GDPR 82. cikke kimondja, hogy minden olyan személy, aki az adatkezelés jogellenessége miatt kárt szenved – akár vagyoni, akár nem vagyoni formában –, kártérítésre jogosult. A gyakorlatban azonban ennek feltétele a tényleges kár és az okozati összefüggés bizonyítása.
Ez azt jelenti, hogy az érintettnek igazolnia kell, hogy az adatszivárgás konkrét kárt okozott számára – például személyiségi jogsértést, anyagi hátrányt, vagy pszichés megrázkódtatást.
Közigazgatási bírság
A GDPR 83. cikke lehetővé teszi a felügyeleti hatóság számára, hogy bírságot szabjon ki, ha az adatkezelő nem teljesíti kötelezettségeit – például nem jelent be időben egy incidenst, vagy elmulasztja tájékoztatni az érintetteket.
A bírság összege elérheti akár a globális éves árbevétel 4%-át vagy 20 millió eurót – attól függően, melyik a magasabb. A magyar szabályozás (2018. évi VI. törvény) szintén lehetőséget ad bírságolásra nemzeti szinten.
Reputációs és üzleti veszteség
A jogi következményeken túl az adatvédelmi incidensek bizalomvesztést okozhatnak az ügyfelek részéről, megrendíthetik a vállalat piaci pozícióját, és hosszú távú üzleti károkat is eredményezhetnek. Ezek megelőzése érdekében kulcsfontosságú a transzparens, gyors és hatékony válságkezelés.
Szerződéses felelősség
Ha az adatkezelő harmadik felet (adatfeldolgozót) bíz meg, és az adatvesztés vagy jogosulatlan hozzáférés ebből a kapcsolatból ered, az adatkezelő és az adatfeldolgozó egyaránt felelőssé válhatnak. A GDPR 28. és 82. cikkei előírják, hogy mindkét fél köteles együttműködni és betartani a vonatkozó szerződéses és jogi követelményeket.
Speciális magyar szabályozás
Magyarországon az adatvédelmi incidensekkel kapcsolatos bejelentési és nyilvántartási kötelezettségeket a 2011. évi CXII. törvény (Infotv.) szabályozza. A 25/J. § kifejezetten rendelkezik arról, hogy az adatkezelő mikor és hogyan köteles bejelenteni az incidenst a hatóságnak.
A NAIH által működtetett online incidensbejelentő rendszer lehetőséget biztosít a gyors bejelentésre, a hivatal pedig iránymutatásokkal is segíti az adatkezelők munkáját.
Ajánlott lépések cégek számára
1. Vizsgálat indítása
Haladéktalanul elemezni kell az incidens forrását, érintett adatokat és felelősöket.
2. Hatósági bejelentés 72 órán belül
Ha van kockázat az érintettek jogaira, kötelező bejelenteni a NAIH-nak.
3. Érintettek tájékoztatása
Magas kockázat esetén az érintetteket közérthetően és gyorsan tájékoztatni kell.
4. Belső nyilvántartás vezetése
Dokumentálni kell minden lépést, függetlenül attól, hogy történt-e bejelentés.
5. Biztonsági rendszer felülvizsgálata
Jelszócsere, biztonsági mentések, hozzáférés-korlátozás, munkatársak képzése.
6. Felkészülés a következményekre
Jogi, pénzügyi és reputációs hatások kezelése érdekében célszerű vészforgatókönyvet is készíteni.
A jogszabályok egyértelmű keretrendszert adnak az adatvédelmi incidensek kezelésére. A gyors és szakszerű reagálás nemcsak a bírságok, hanem az üzleti kár megelőzésében is kulcsfontosságú.
