Adatvédelmi incidensek Magyarországon a GDPR első két hónapjában

2018.08.23. Jogi Fórum / Frivaldszky Gáspár ügyvéd, információbiztonsági vezető auditor

Hány adatvédelmi incidenst jelentettek be a Hatósághoz a GDPR kötelező alkalmazásának kezdő időszakában? Milyen jellegűek voltak a bejelentett incidensek? Kik és hányan voltak az érintettek? Milyen adatokat érintettek jellemzően a bejelentett incidensek? - Frivaldszky Gáspár, ügyvéd, információbiztonsági szakértő összefoglalója a Nemzeti Adatvédelmi és Információszabadság Hatóság közérdekű adatigénylésében adott tájékoztatása alapján.

A NAIH elnökének válaszából megtudtuk, hogy a Hatósághoz 2018. május 25. és július 25. között a különböző adatkezelők meglehetősen alacsony számban, mindösszesen 79 esetben jelentettek be adatvédelmi incidenst. Írországban ugyanezen idő alatt 1.184 bejelentés érkezett az adatvédelmi hatósághoz. A nagyságrendbéli különbség oka lehet, hogy Írországban a GDPR életbe lépése előtt is kötelező volt bejelenteni az adatvédelmi incidenseket, így az jobban beivódott a vállalatok tudatába. Másrészről sok nemzetközi vállalat székhelye Írország. Ezek a vállalatok kevésbé vállalják fel azt a kockázatot, hogy az adatvédelmi incidenseik esetleg napvilágot látnak, miközben azokat nem jelentették be az adatvédelmi hatósághoz.

A magyar adatvédelmi hatósághoz bejelentett adatvédelmi incidensek a bejelentés tartalmát tekintve az alábbi kategóriákba sorolhatóak:

a) Téves címre postán/telefonon/e-mailben elküldött személyes adatokat tartalmazó küldemény: összesen 45 incidensbejelentés,

b) Személyes adatok nagy nyilvánosság előtti jogellenes közzététele (pl. e-mail-es levelezőlistában az összes címzett látja a többiek címét is): összesen 11 incidensbejelentés,

c) Személyes adatok jogellenes megismerése illetéktelen hozzáféréssel (pl. hackertámadás, vírustámadás): összesen 12 incidensbejelentés,

d) Személyes adatokat tartalmazó adathordozó (pl. laptop, telefon) elveszítése: összesen 4 incidensbejelentés,

e) Személyiséglopás az érintett e-mail címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: összesen 3 incidensbejelentés,

f) Egyéb incidensbejelentések:

  • Téves dokumentumküldés az ügyfélnek (sablon helyett jelentés): összesen 1 incidensbejelentés,
  • Jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: összesen 1 incidensbejelentés,
  • Az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: összesen 1 incidensbejelentés,
  • Személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: összesen 1 incidensbejelentés.

A bejelentett adatvédelmi incidensekben az alábbi érintetti kategóriák és azok hozzávetőleges száma került bejelentésre a Hatóság felé:

  • Adatkezelő ügyfelei: 21.688 esetben voltak érintettek a beérkezett bejelentésekben.
  • Adatkezelő által nyújtott szolgáltatás felhasználói: 19.137 esetben voltak érintettek a beérkezett bejelentésekben. A Hatóság jelenleg is vizsgál egy körülbelül 92,3 millió adatot érintő nemzetközi incidenst, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.
  • Adatkezelő alkalmazottjai/munkavállalói: 879 esetben voltak érintettek a beérkezett bejelentésekben.
  • Még nem ismert kategóriába sorolható érintettek: 8 esetben voltak érintettek a beérkezett bejelentésekben.

Az adatvédelmi hatósághoz bejelentett adatvédelmi incidensekben az érintett személyes adatok az alábbi kategóriákba sorolhatóak:

  • Személyazonossághoz kapcsolódó adatok: 16.376 alkalommal voltak érintettek az eddig bejelentett incidensekben.
  • Gazdasági, pénzügyi adatok: 531 alkalommal voltak érintettek.
  • Egyéb azonosító adatok: 185 alkalommal voltak érintettek az eddig bejelentett incidensekben.
  • Elérhetőségi adatok: 17.503 alkalommal voltak érintettek.
  • Különleges (genetikai) adatok: 92,3 millió alkalommal voltak érintettek az eddig bejelentett incidensekben. Ez a viszonylag magas szám egy nemzetközi incidensbejelentéshez kapcsolódik, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.

A fentieket összegezve elmondhatjuk, hogy az átlagosan napi egy bejelentett adatvédelmi incidens nyilvánvalóan nem tükrözi a ténylegesen bekövetkezett adatvédelmi incidensek számát. Életszerűtlen az, hogy a közel 2 millió hazai vállalkozás működése során alig több mint napi egy alkalommal történik olyan adatvédelmi incidens, amely valószínűsíthetően kockázattal jár a természetes személyek jogaira.

A vállalkozások valószínűleg még nincsenek tisztában azzal, hogy egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensnek minősülhet. Amennyiben a Hatóság nem az adatkezelésért felelőstől értesül az adatvédelmi incidensről, az adatkezelő lényegesen szigorúbb elbírálásra számíthat a kiszabandó bírságok tekintetében. Az ügyfelek, a munkavállalók és a cégvezetők adatvédelmi tudatosságának növekedésével a bejelentett incidensek számának rohamos növekedésével számolhatunk.

dr. Frivaldszky Gáspár, ügyvéd, információbiztonsági vezető auditor, az International Association of Privacy Professionals minősített (CIPP/E, CIPM) tagja

  • kapcsolódó anyagok
ADATVÉDELEM