Péter egy táplálék kiegészítőket áruló webshop tulajdonosa és üzemeltetője. Az ügyfeleknek van saját fiókjuk természetesen, amiben bankkártyát is regisztráltak. Egy nap Péter észreveszi, hogy néhány ügyfél fiókját támadók törték fel.
Péter gyorsan reagál a helyzetre. Új jelszavakat generál a felhasználói fiókokhoz, és emailt is küld az érintetteknek egy linkkel, hogy változtassák meg a jelszavaikat amint lehet. Egy hajszálon múlott, ennyi – sóhajt fel.
Péter nem tudja, hogy jelenleg egy több millió Forintos bírságnak van kitéve. Mit nem csinált jól?ű
Mi az az adatvédelmi incidens?
Az adatvédelmi incidens a GDPR szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Például ha az oldalad feltörik, és a támadók megszerzik az ügyfeleid személyes adatait, bankkártya adatokat, lakcímeket, stb. Klasszikus példa az ügyfél adatokkal elhagyott pen-drive, de ide tartozik az is, ha az adatbázisodban szereplő Kovács István nevű embernek tévedésből egy másik Kovács István adatait küldöd el. De még számos más példát is lehetne hozni.
Mit kell tenni egy ilyen incidens esetén?
Az incidens kezelése és elhárítása után a GDPR szerint mindent megfelelően dokumentálni kell az esettel kapcsolatban.
Az adatvédelmi incidenst az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni az illetékes felügyeleti hatóságnak. Magyarországon ez a Nemzeti Adavédelmi és Információszabadság Hatóság, rövidítve: NAIH.
A NAIH éppen ezért üzemeltet egy online rendszert, ahol ezeket az incidenseket a cégek be tudják jelenteni.
Természetesen előfordulhat, hogy az incidens mindegy egyes, dokumentálásra szoruló részletét nem sikerül 72 órán belül felderíteni. Ez esetben úgynevezett szakaszos bejelentést kell alkalmazni, azaz, amit lehet be kell jelenteni időben, a többit pedig később pótolni, amint kiderül.
Fontos, hogy ha a bejelentés nem történik meg 72 órán belül, akkor később pótolni kell a késedelem igazolására szolgáló indokokat is.
TIPP: Közepes és nagyobb cégek esetében javasolt egy folyamatot előre rögzíteni és megismertetni a munkatársakkal: ki, mit, mikor és hogyan jelent, kinek mi a felelősségi köre, ha adatvédelmi incidens történik. Egy ilyen irányelv segít ha baj van, és csökkentheti a büntetés mértékét is.
Van kivétel a jelentési kötelezettség alól?
Igen, vannak esetek, amikor nem kell jelentést tenni.
De csak akkor, ha bizonyosan igazolható, hogy senkinek nem sérültek a jogai. Ilyen lehet, ha az adatok kiemelt titkosítással vannak védve, de minden esetet meg kell vizsgálni. Figyelembe kell venni az incidens során érintett adatok mennyiségét, körét, formátumát, és azt is, hogy könnyen azonosíthatók-e például az ügyfelek, és milyen következménnyel jár ha mégis kikerülnek az adatok.
Azért is jobb jelenteni az incidenseket, mert ha ezt egy károsult ügyfél teszi meg a cég helyett, úgy a büntetés és a következmény sokkal komolyabb lehet.
Mi történik a bejelentés után?
A bejelentést követően a Hatóság kapcsolatba léphet az adott céggel, de az is előfordulhat, hogy semmi nem történik (a jelentéstől függ). A GDPR és az Infotörvény leírja, miként járhat el a NAIH, de összességében elmondható, hogy kérhet további adatokat, dokumentumokat, megfogalmazhat ajánlásokat, lezárhatja az ügyet, de eljárást is indíthat.
A folyamat összegezve:
- Első a hiba elhárítása és a biztonság visszaállítása
- Ellenőrizd többször, hogy történt-e adatvédelmi incidens.
- Ha történt, mindenképp fordíts figyelmet a 72 órás határidő betartására, és jelentsd a NAIH számára.
- Ha még nincs elegendő információd, akkor is tegyél jelentést 72 órán belül.
- Ha elmulasztottad a 72 órát, akkor a jelentésben fejtsd ki az okát.
- Dokumentáld az incidenst és az azt követő lépéseket egészen a folyamat végéig.
Megjegyzés: ez a cikk általános tájékoztatás és nem minősül jogi tanácsadásnak. Ha szükségesnek érzed, akkor mindenképp konzultálj ügyvéddel a GPDR kapcsán.