Adatbiztonság angolosan

2012.03.22. Jogi Fórum/ Dr. Domokos N. Márton

„Wanda, do you have any idea what it's like being English? Being so correct all the time, being so stifled by this dread of, of doing the wrong thing, of saying to someone "Are you married?" and hearing "My wife left me this morning," or saying, uh, "Do you have children?" and being told they all burned to death on Wednesday. You see, Wanda, we'll all terrified of embarrassment.”

1. Az adatbiztonsági szabályozás iránya 2012-ben

Az adatbiztonsági értesítések (security breach notification) megjelenése és elterjedése az adatvédelmi jognak ma az egyik legprogresszívebb, az illetékes hatóságok, az érintett iparági szereplők, és természetesen a fogyasztók (adatgazdák) elvárásait egyaránt tükröző jogintézménye. Az Európai Parlament és a Tanács 2009/136/EK – 2009. november 25. – irányelvével módosított „e-Privacy Irányelv”1 értelmében 2011. május 25-ig az Európai Unió (EU) tagállamainak is hatályba kellett léptetniük az ezzel kapcsolatos szabályokat, igaz, egyelőre csak az elektronikus hírközlési szektorban.

A Módosított e-Privacy Irányelv implementálása következtében lehet, hogy 2012 az adatbiztonsági értesítések éve lesz. Szinten minden hétre jut egy-egy adatbiztonsági esemény: nemrég a Zappos.com internetes áruház 24 millió ügyféladatát lopták el egy hackertámadás során, de hasonló kár érte az Ultimate Bet online pókeroldalt (kb. 3 millió játékos adata), a Sony Corporation-t (93.000 játékos adata), vagy a Citigroup-ot (kb. 360.000 ügyfél adata). Az izraeli Igazságügyi Minisztérium illetékes szerve (ILITA) csak mostanra derítette fel egy 2006-os, a népességi nyilvántartásból történt adatlopás körülményeit. Az USA-ban egyre gyakoribbak az adatbiztonsági események miatt indított perek – legutóbb például a Stanford Hospital & Clinics ellen nyújtottak be keresetet, mert kb. 20.000 páciensének adata került ki jogosulatlanul az internetre. A jelenlegi szabályozási gyakorlatot Európában legutóbb az Európai Hálózat- és Információbiztonsági Ügynökség (European Network and Information Security Agency – „ENISA”) vizsgálta átfogóan.2 Az EU új adatvédelmi szabályozásának tervezete szerint az adatbiztonsági értesítési kötelezettségeket várhatóan más iparágakra is kiterjesztik; a tervezett szabályok elfogadása esetén például a magyarországi bankkártyákat érintő legutóbbi, nagy sajtónyilvánosságot kapott adatlopás3 esetén a bankoknak közvetlenül értesítenie kellene mind a szabályozó hatóságot, mind ügyfeleiket.

Az USA-ban a tagállamok már a meglévő adatbiztonsági értesítési gyakorlatok finomításánál, a vonatkozó jogszabályok módosításánál tartanak. Kaliforniában 2012. január 1-jétől az 500-nál több személyt érintő adatbiztonsági eseményről az adatkezelő köteles értesíteni az illetékes felügyeleti szervet (Attorney General). A kötelezettség megszegése jogsértésenként akár 2.500 USD bírságot (körülbelül 540.000,- HUF4) vonhat maga után. A módosítás célja, hogy a hatóság nagyobb rálátással rendelkezzen az adatbiztonsági események jellegére, gyakoriságára, és általánosságban az ezzel kapcsolatos iparági gyakorlatra. 2012. március 1-jétől Massachusetts állam vonatkozó szabályozása (201 CMR 17.00) írja elő az adatkezelők számára, hogy szerződéses partnereiket is kötelezzék a rájuk irányadó adatbiztonsági rendelkezések vállalására. Az előírás már két éve hatályban van, de eddig a szabályozás hatálybalépésekor fennálló szerződéseket nem kellett módosítani („grandfathering” lehetősége).5 A szabályozói cél gyakorlati szempontból érthető: ha például egy vállalkozás ügyféladatait egy alvállalkozó elveszti, az ügyfelek felé közvetlenül a vállalkozó felel – ennek következtében érdekében áll az adatbiztonsági kötelezettségeket előírni szerződéses partnerei számára is.

Korábbi írásomban6 már kiemeltem az USA vonatkozó szabályozásának és gyakorlatának előremutató és gyakorlatias jellegét. Az európai trendet figyelve úgy tűnik, hogy az adatbiztonsági kötelezettségek betartása felett mostanában a legaktívabban az Egyesült Királyság adatvédelmi hatósága (Information Commissioner's Office - ICO) őrködik – a Hal neve: Wanda című film ügyvédjének (John Cleese felejthetetlen alakításában) fent idézett hagyományos angol szigorúságával.

Az ICO egy sajtóközleményében azt is kiemelte: „a személyes adatok védelme az adatkezelők szervezeti kultúrájába és génjeibe kell beépüljön” – ez akár az adatvédelmi jog mottója is lehetne.

2. Táskalopás a pub-ban, iratok a szekrény tetején, elvesztett iratok a reptéren - figyelemreméltó adatbiztonsági esetek az ICO gyakorlatában

Az ICO 2010-es vizsgálata szerint7 az adatbiztonsági események egyharmadára – 1007-ből 305 – az egészségügyi szektorban kerül sor. Úgy tűnik, az állami szektor adatkezelői kevésbé tartják be az adatbiztonsági szabályokat: míg a magánszektorban összesen 288 adatbiztonsági eseményre került sor, csak az önkormányzati intézményeknél 132. Ugyanezt erősítette meg a Big Brother Watch nevű angol polgárjogi szervezet 2011. novemberi vizsgálata is – az egyik legextrémebb eset az volt, amikor egy-egy hivatalos ügy scannelt anyagai illetéktelenül kikerültek a Facebook-ra.8 Az angol szabályozó annyira komolyan veszélyeztetve látja a személyes adatok biztonságát, hogy az adatvesztések szabadságvesztéssel való szankcionálásának lehetősége is felmerült. Legutóbb Oliver Letwin konzervatív politikus is nyilvános bocsánatkérésre kényszerült, miután bulvárlapok lefotózták, amint a nyilvánvalóan „érzékeny” természetű személyes adatokat tartalmazó hivatalos leveleit elolvasásukat követően a londoni St. James Park nyilvános szemetesébe dobja.

Lássuk az ICO legérdekesebb adatbiztonsági eseteit:

  • Táskalopás a pub-ban, kéretlen e-mail a szomszédnak. 2012 februárjában a Croydon County Council nevű közigazgatási szervezetet 100.000 GBP-re (körülbelül 34.270.000,- HUF) büntette az ICO, mert egyik munkatársától egy gyermekbántalmazási üggyel kapcsolatos iratokat tartalmazó táskát elloptak egy londoni pub-ban. Szintén ugyanebben a hónapban a Norfolk County Council-ra 80.000 GBP (körülbelül 27.420.000,- HUF) bírságot szabott ki az ICO, mert az adatkezelő illetékes munkatársa egy gyermek egészségi állapotával kapcsolatos anyagokat véletlenül rossz címre küldött – az érintett személy szomszédjának. Az ICO mindkét esetben megállapította, hogy az adatkezelők nem tartottak megfelelő adatvédelmi oktatást munkatársaiknak, és a második esetben a küldemények kézbesítésével kapcsolatos eljárás sem volt megfelelő adatbiztonsági szempontból. A bírság annak ellenére kiszabásra került, hogy az adatkezelők az adatbiztonsági eseményeket haladéktalanul orvosolni próbálták. Mindkét szervezet rendelkezett belső adatvédelmi szabályzattal, az ICO azonban ezt nem tartotta elegendőnek: megállapítása szerint a személyes adatok biztonsága akkor megfelelő, ha a szabályzattal kapcsolatban az érintett munkatársak oktatásban is részesülnek.9
  • Kéretlen e-mail – több száz embernek. Szintén 2012 februárjában a Cheshire East Council 80.000 GBP (körülbelül 27.420.000,- HUF) bírságot kapott, mert munkatársa figyelmeztető levelet küldött a helyi önkéntes munkások koordinátorának egy munkással kapcsolatos rendőrségi aggályokról. Az e-mail-t azonban – a biztonságos hivatalos hálózat használata helyett - a koordinátor magáncímére küldték, tartalma félreérthető volt (pl.: a feladó nem jelezte, hogy az e-mailt bizalmasan kellene kezelni), és végül több mint száz illetéktelen személynek került továbbításra.10
  • Eltévedt iratok a nyomtatóban. 2011 decemberében a Powys County Council nevű közigazgatási szervezetre az ICO 130.000 GBP (körülbelül 44.551.000,- HUF) bírságot szabott ki, mert két különböző gyermekvédelmi ügy ugyanazon nyomtatóra kinyomtatott anyagának lapjai összekeveredtek, így az egyes dokumentumok címzettjei illetéktelenül a másik ügyben szereplő személyek személyes adatainak birtokába jutottak. Az ICO az adatkezeléssel foglalkozó munkatársak számára adatvédelmi oktatást is előírt, amit háromévente meg kell ismételni.11
  • Elnézett kontaktlisták. 2011 novemberében a Worcestershire County Council 80.000 GBP (körülbelül 27.420.000,- HUF) bírságot kapott, mert a szervezet egyik munkatársa a nem megfelelő kontaktlista használatával 23 illetéktelen címzett számára továbbított különleges ügyféladatokat. Határozatában az ICO megállapította, hogy a szervezet nem gondoskodott megfelelően az adatok biztonságáról azzal, hogy nem biztosított oktatást munkavállalói számára a belső és külső e-mail kontaktlisták használatával kapcsolatban. Az adatkezelő azt is elmulasztotta biztosítani, hogy az adatok zárt rendszerben, csak azon munkatársak számára legyenek hozzáférhetők, akik ténylegesen használják azokat. A bírság annak ellenére kiszabásra került, hogy az érintett munkatárs rögtön észlelte a hibát, és megkísérelte felvenni a kapcsolatot az illetéktelen címzettekkel, kérve tőlük az adatok törlését. Szintén 2011 novemberében a North Somerset Council-t 60.000 GBP-re (körülbelül 20.562.000,- HUF) bírságolta a hatóság, mert az adatkezelő egyik munkatársa véletlenül illetéktelen címzett számára továbbított öt, egy folyamatban levő gyermekvédelmi üggyel kapcsolatos különleges adatokat tartalmazó e-mailt. Az egyik illetéktelen címzett már az első e-mailt követően jelezte a hibát, az érintett munkatárs azonban ennek ellenére is elküldte számára a többi e-mailt. A szervezet rendelkezett belső adatvédelmi szabályzatokkal a hasonló esetek elkerülésére, az ICO ugyanakkor megállapította, hogy a munkatársak nem részesültek megfelelő adatvédelmi oktatásban. Az ICO az üggyel kapcsolatos ajánlásában javasolta a jövőben az e-mailek titkosítását, és az illetékes felsővezetők által jóváhagyott kontaktlisták használatát.12
  • Megbírságolt ügyvédi iroda. 2011 májusában az ACS: Law ügyvédi iroda vezetőjét 1.000 GBP-re (körülbelül 340.000,- HUF) bírságolta az ICO. A szellemi tulajdonnal kapcsolatos jogsértések ügyében eljáró iroda által kezelt, a jogsértéssel vádolt mintegy 6.000 felhasználó személyes adatai (pl.: azonosító adatok, jogsértően letöltött vagy letölteni próbált tartalmak, bankkártya-adatok, egészségi állapottal és szexuális élettel kapcsolatos adatok) hackertámadás következtében hozzáférhetővé váltak. Az ICO megállapította, hogy az ügyvédi iroda IT rendszere még az alapvető adatbiztonsági beállításokkal – pl.: tűzfal, hozzáférési jogok – sem rendelkezett.13
  • Ellopott merevlemezek. A Brighton and Sussex University Hospitals NHS Trust-ot várhatóan 375.000 GBP-re (körülbelül 128.510.000,- HUF) bírságolja az ICO, miután pácienseik egészségügyi adatait tartalmazó lopott merevlemezek bukkantak fel az eBay aukciós oldalon. A 232 merevlemez a Brighton General Hospital raktárából tűnt el, ahova tervezett megsemmisítésüket megelőzően szállították őket. Az ICO szerint ez tipikusan az az eset, amikor az adatkezelő elmulasztja megtenni a szükséges technikai és szervezési intézkedéseket az adatok véletlen sérülése ellen. Míg korábbi esetekben az adatkezelők általában elfogadják az ICO álláspontját, a Brighton and Sussex University Hospitals NHS Trust vitatja a hatóság megállapításait, arra hivatkozva, hogy az adatvesztésre nem az adatbiztonsági intézkedések elmulasztása miatt, hanem bűncselekmény következtében került sor.14
  • Elvesztett pendrive-ok. Megúszta a bírságot a 18.000 nem titkosított személyes adatot tartalmazó pendrive-ot elvesztő Rochdale Metropolitan Borough Council, mert az adatok kevésbé voltak „érzékeny” természetűek – nagy részük nyilvános forrásból is hozzáférhető volt, valamint az adatkezelő írásbeli kötelezettséget vállalt, hogy 2012. március 31-ig megteszi a szükséges adatbiztonsági intézkedéseket (pl.: titkosítás, oktatás). A céldátumot követően az ICO ellenőrizni fogja a kötelezettségek betartását.15 Hasonló ügybe keveredett a University Hospital of South Manchester NHS Foundation Trust: az egyik kórházi gyakornok 87 páciens nem titkosított személyes adatát tartalmazó pendrive-ot vesztett el. A kórház vélelmezte, hogy a gyakornok tanulmányai során részesült alapvető adatvédelmi oktatásban, így nem tartott neki külön oktatást az egészségügyi adatok biztonságos kezelésével kapcsolatban.16
  • Adatvesztés költözéskor, iratok a szekrény tetején. A Southwark Council szintén rendelkezett adatkezelési, titkosítási és adatmegsemmisítési szabályzattal, mégis 7.200 személy adatát (nevek, címek, etnikai adatok, egészségügyi információk, bűnügyi adatok) vesztette el egy költözés során. Az adatbiztonsági esemény időpontjában az ICO még nem volt jogosult bírságot kiszabni, az adatkezelő mindazonáltal 2011 novemberében vállalta a megfelelő biztonsági intézkedések megtételét, többek között iratkezelési és iratmegsemmisítési szabályzat bevezetését, valamint az adatok titkosítását. Hasonló kötelezettséget vállalt a Central Essex Community Services, miután 249 kismama és újszülött anyakönyvét vesztette el – az iratokat helyhiány miatt nem zárt helyen, hanem egy szekrény tetején tárolták.17
  • Ellopott CDk. A London Borough of Barnet egyik munkavállalójának otthonából titkosítás nélküli, jelszóval nem védett, 9.000 gyermek különleges adatát tartalmazó USB drive-ot és CD-t loptak el. A munkavállaló az adatokat munkáltatói felhatalmazás nélkül töltötte le az adathordozókra, és az is kiderült, hogy az adatkezelő munkáltatónál nem voltak megfelelő biztonsági szabályzatok és oktatások a hasonló esetek megakadályozására. Hasonló eset történt a West Sussex County Council nevű szervezetnél, a Buckingamshire County Council egyik szociális munkása pedig a Heathrow repülőtéren vesztett el különleges adatokat tartalmazó dokumentumokat.18

3. A bírságok összege

A fenti összegek – pl. 130.000 GBP (kb. 44.551.000,- HUF!), 80.000 GBP (kb. 27.420.000,- HUF!) , 60.000 GBP (kb. 20.562.000,- HUF!) – nemzetközi viszonylatban is elég jelentős összegnek számítanak.

Különösen fontos lehet azonban az esetek körülményeit és a bírságok összegét összevetni a magyar szabályozással. Az új adatvédelmi törvény alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság által kiszabható bírság felső határa 10.000.000,- HUF – az angol példákat figyelembe véve ez az összeghatár alacsonynak tűnik.

A bírságok összegével kapcsolatban érdemes megemlíteni pár nemzetközi példát is:

  • Hollandiában az adatbiztonsági értesítési kötelezettség megszegése akár 200.000 EUR (körülbelül 58.080.000,- HUF) bírsággal is járhat.19 (A holland kormányzat 2011. december 20-án indított konzultációt, hogy az adatbiztonsági értesítésre vonatkozó szabályok milyen formában és részletességgel kerüljenek át a nemzeti jogszabályba.)
  • Franciaországban a vonatkozó adatbiztonsági értesítési kötelezettségek megszegésének lehetséges szankciója 300.000 EUR (körülbelül 87.110.000,- HUF), sőt, akár öt év szabadságvesztés.20
  • Spanyolországban a Vodafone-t 2010 júniusában 100.000 EUR-ra (körülbelül 2.900.000,- HUF) bírságolta az adatvédelmi hatóság (Agencia Española de Protección de Datos), mert 22 előfizetője személyes adatait véletlenül elérhetővé tette honlapján.21
  • Az USA Indiana tagállamában az egészségbiztosítási iparágban működő WellPoint Inc. 100.000 USD (körülbelül 21.610.000,- HUF) bírságot kapott, mert egy biztonsági szempontból nem megfelelő honlapfejlesztés során 32.000 ügyfelének adata vált nyilvánosan elérhetővé, és az adatkezelő három hónapot késlekedett az érintett személyek értesítésével.

Egy-egy adatbiztonsági esemény során talán még a potenciális bírságok összegénél is nagyobb kárt okozhat az érintett adatgazdák (pl.: ügyfelek) részéről bekövetkező bizalomvesztés.

4. Az általános adatbiztonsági kötelezettségek értelmezése az ICO gyakorlatában

Érdemes megfigyelni, hogy az ICO a gyakorlatban hogyan alkalmazza és értelmezi az általános adatbiztonsági követelményeket. Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 7. §-a is előírja– összhangban az EU általános „Adatvédelmi Irányelvének 17. cikkével”22 - a megfelelő adatbiztonsági intézkedések megtételét, az alábbiak szerint:

Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A gyakorlatban rendszeresen találkozunk az iparági szereplők részéről azzal a kérdéssel, hogy mégis milyen konkrét intézkedésekkel lehet megfelelni a fenti jogszabályhelynek. Magyarországon egyelőre sajnos hiányoznak azok a részletes hatósági iránymutatások, amik ebben segítséget nyújthatnak. A fent említett ügyekben ugyanakkor az ICO megállapított néhány olyan gyakorlati intézkedést, amik más országokban is segítséget nyújthatnak az adatbiztonság követelményének való megfeleléshez. Ezen túlmenően az ICO honlapján külön iránymutatások is hozzáférhetők az adatkezelők számára javasolt gyakorlati adatbiztonsági intézkedésekről.23

Az ICO javaslata szerint ilyen intézkedés például: tűzfal, anti-spyware és vírusellenőrző programok a számítógépen, automatikus update-k a biztonsági programokon, bizalmas információk csak „need to know” alapon való hozzáférhetővé tétele, titkosítás, rendszeres biztonsági mentés, személyes adatok eltávolítása a leselejtezett számítógépekről, automatikus címfelismerés óvatos használata e-mail küldés esetén, „titkos másolat” funkció használata, megfelelően biztonságos jelszavak használata, adatvédelmi és dokumentumkezelési szabályzatok bevezetése, folyamatos adatvédelmi oktatás az illetékes munkatársak számára.

Reméljük, hogy a jogszabály-értelmezésnek ezzel az előremutató angolszász trendjére figyelemmel a Nemzeti Adatvédelmi és Információszabadságtól is várhatunk hasonló iránymutatás(oka)t, melyek a gyakorlatban nagyon hasznosak lennének az adatkezelők számára.

5. Az ICO legújabb adatbiztonsági iránymutatása – adatbiztonsági értesítések a gyakorlatban

Ilyen adatbiztonsági iránymutatás például az ICO „Guide to the Privacy and Electronic Communications Regulations” elnevezésű dokumentumának24 új, az adatbiztonsági események (security breaches) esetén lefolytatandó eljárást tárgyaló fejezete25. Egyébként maga a „Guide to the Privacy and Electronic Communications Regulations” is figyelemreméltó dokumentum: 62 oldalon keresztül, nem jogászok számára is közérthető kérdés-felelet formában tartalmazza az elektronikus hírközlési ágazatban irányadó adatvédelmi szabályoknak való gyakorlati megfeleléshez szükséges szabályokat.

A módosított e-Privacy Irányelvben meghatározott, az angol jog által is átvett általános szabályokon túl az ICO a következő részletszabályokat határozza meg az adatbiztonsági értesítések tekintetében:

  • Kötelező tartalom. Az ICO részére küldött adatbiztonsági értesítéseknek tartalmaznia kell az adatbiztonsági esemény bemutatását, a módosított e-Privacy Irányelv rendelkezései szerint (melyet az Eht. 156. § is átvett).
  • Havi jelentéstétel. Érdemes kiemelni, hogy az ICO nemcsak a már megtörtént adatbiztonsági események esetén várja a bejelentést, hanem elvárja a szolgáltató proaktív magatartását: az ICO javaslata szerint a szolgáltatók a vonatkozó nyilvántartásukat havonta küldjék el a hatóságnak, biztosítva ezzel, hogy az adatbiztonsági eseményekről a szolgáltatók is folyamatos áttekintéssel rendelkezzenek, és az események a módosított e-Privacy Irányelvnek megfelelően időben bejelentésre kerüljenek. Előremutató megoldás, hiszen a havi rendszerességgel történő adatszolgáltatás fogadásával a hatóság folyamatosan nyomon tudja követni és elemezni az adatbiztonsági eseményeket – ez a tevékenység ugyanakkor nyilvánvaló többlet-erőforrások biztosítását kívánja meg a hatóság részéről. Kérdés, hogy egy, a jelenleg 353 fővel működő ICO-hoz képes kisebb szervezet, mint például a Nemzeti Adatvédelmi és Információszabadság Hatóság rendelkezne-e egy hasonló monitoring tevékenységhez szükséges erőforrásokkal. Fontos gyakorlati előrelépést jelenhet ugyanakkor, hogy a havi jelentéstétel segítséget nyújthat az adatbiztonsági értesítésekkel kapcsolatos – Európában még az amerikai szabályozáshoz képest egyelőre jóval kiforratlanabb – gyakorlat fejlesztésében, a jogintézmény létezésének tudatosításában és aktív használatában, mind a szolgáltatók, mind az ügyfelek (adatgazdák), és persze nem utolsósorban magának a hatóságnak a gyakorlatában.
  • Határidő és „komolyság”. Az e-Privacy Irányelvben jelenleg nincs egységes, specifikus határidő az értesítési kötelezettség teljesítésére. Az USA tagállami szabályozásaiban ez a határidő a leggyakrabban 45 nap – egyes esetekben, amikor az illetéktelen személyekhez került adatok védelme érdekében haladéktalan cselekvésre van szükség mind az ügyfelek, mind harmadik személy adatkezelők (pl.: bankok) részéről, mind a 45 nap, mind az ICO által javasolt havi rendszerességű tájékoztatás soknak tűnhet. Az értesítési kötelezettség teljesítésének „haladéktalan” jellegét a szolgáltatóknak tehát ettől az általános határidőtől függetlenül, esetről esetre kell vizsgálniuk– figyelemmel arra is, hogy az adatbiztonsági eseményt követően természetesen az adatkezelőnek ésszerű – általában pár napos - időre van szüksége arra, hogy felmérje az esemény pontos körülményeit, megfogalmazza az értesítés tartalmát és közben megtegye a halasztást nem tűrő biztonsági intézkedéseket is. A „komoly” („of a serious nature”) adatbiztonsági eseményeket természetesen haladéktalanul jelenteni kell. Az esemény „komolyságának” értékelésére az ICO a következő szempontokat vezette be: az érintett adatok típusa és „érzékenysége”, az érintett személyre való lehetséges hatása ("impact it could have” – pl. stressz, kellemetlen adatok kikerülése) és a lehetséges kár jellege („potential harm” - pl. anyagi kár, csalás, személyes adatokkal való visszaélés).
  • Közvetlen előfizetői értesítés. Az ICO ajánlása külön nevesíti azt az esetet, amikor az előfizetőket közvetlenül is értesíteni kell az adatbiztonsági eseményről: ez lényegében megegyezik a Módosított e-Privacy Irányelv rendelkezéseivel.
  • Formanyomtatvány. Az ICO honlapján az adatbiztonsági értesítés megtételére megfelelő formanyomtatvány is található. Benyújtására külön e-mail cím áll a szolgáltatók rendelkezésére: datasecuritybreach@ico.gsi.gov.uk.
  • Hatósági hozzáállás. Az iránymutatás felhívja a figyelmet, hogy az értesítési kötelezettség elmulasztása akár 1.000 GBP (körülbelül 342.000 ,- HUF) bírságot is maga után vonhat. Nagyon pozitív hatósági hozzáállásról tesz viszont tanúságot, hogy az ICO iránymutatásában azt is kiemeli, hogy bármilyen – az iránymutatásban nem tárgyalt – kérdéssel összefüggő további információkért kapcsolatba lehet lépni az ICO-val. Az ICO egyébként is rendszeresen hangsúlyozza, hogy szívesen ad tanácsot az adatkezelőknek a jogszabályi megfelelőség biztosítása érdekében.26 Az adatbiztonsági eseményeket áttekintető, úgynevezett „breach table” elnevezésű dokumentumot27 az ICO rendszeresen frissíti.

A fentiekből megállapítható, hogy az ICO új, az adatbiztonsági események esetén lefolytatandó eljárással kapcsolatos ajánlása előremutató, gyakorlatias rendelkezéseket tartalmaz az adatkezelők számára. Több, az USA jogszabályai által részletezett kérdés azonban még az ICO gyakorlatában is szabályozásra vár – például az előfizetők számára hátrányos következmények részletezése, a titkosított adatokkal kapcsolatos részletszabályok, a harmadik személyek által kezelt / feldolgozott adatokkal kapcsolatos eljárás, az „adatbiztonsági esemény” fogalmának gyakorlatiasabb meghatározása, az értesítés jogszerű késleltetésének esetei, vagy az értesítés módja. Az ICO most kiadott ajánlása mindenesetre fontos lépés az adatbiztonsági eseményekkel kapcsolatos európai gyakorlat kialakításában. A magyarországi szabályozás értelmében az NMHH hasonló iránymutatást adhat ki a bejelentési és értesítési kötelezettség teljesítésének a módjára, és a nyilvánosan elérhető elektronikus hírközlési szolgáltatók személyes adatok kezelésével kapcsolatos elérendő biztonsági szintre vonatkozó legjobb gyakorlatokról.28 Az ICO ajánlása ennek során példa lehet az NMHH számára is.

 

A szerző ügyvéd, a CMS Cameron McKenna LLP budapesti irodájának munkatársa. Az USA tagállamainak adatbiztonsági értesítési jogszabályait többek között egy, a bostoni Suffolk University Law School részére végzett kutatási projekt során vizsgálta. Az írással kapcsolatos kérdéseket, észrevételeket a marton.domokos@cms-cmck.com vagy a marton.domokos@gmail.com címre várja.

Az adatbiztonsági értesítésekkel kapcsolatban érdemes még elolvasni a következő tanulmányt:

Adatbiztonsági értesítési szabályok, kérdések és gyakorlati tanácsok
 



1 Az Európai Parlament és a Tanács 2002/58/EK (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló irányelve – módosította az Európai Parlament és a Tanács 2009/136/EK - 2009. november 25. irányelve.
2 New report: Data Breach Notifications in Europe
3 Bankszövetség: bankkártyákat érintő adatlopás történt
4 Az összes deviza körülbelüli átszámítása a 2012. február 28-i MNB középárfolyamon történt (USD 216,09; GBP 342,7; EUR 290,38), kerekítve.
5 Massachusetts Data Protection Regulations: March 1, 2012 Deadline for Service Provider Contracts
6 Adatbiztonsági értesítési szabályok, kérdések és gyakorlati tanácsok
7 NHS is worst offender as reported data breaches hit 1,000, says ICO
8 More than 100 local councils lost personal data, finds report
9 Councils fined for serious data breaches News release: 13 February 2012
10 Council fined for serious e-mail disclosure
11 Powys County Council fined £130,000 for disclosing child protection case details
12 Monetary penalties served to councils for serious e-mail errors
13 ICO fines former ACS Law boss for lax IT security
14 NHS Trust Will Appeal Against ICO Penalty
15 Council lost memory stick containing 18,000 residents’ details
16 ICO Ref: ENF0372602
17 Council warned after personal data was missing for two years
18 Over 9,000 child details put at risk by councils
19 The Netherlands: Government consults on general breach notification rule
20 France enacts breach notification law for ISPs and telcos
21 Vodafone Spain Fined Over Data Protection Breach
22 Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról
23 http://www.ico.gov.uk/for_organisations/data_protection/security_measures.aspx
24 Teljes terjedelemben megtalálható itt→
25 A vonatkozó fejezet megtalálható itt→
26 http://www.ico.gov.uk/upload/documents/pressreleases/2010/data_breaches_260110.pdf
27 http://datadiscretion.com/wp-content/uploads/2010/10/1000_data_breaches280510.pdf
28 Eht. 156. § (7)

  • kapcsolódó anyagok
ADATVÉDELEM
ADATVÉDELMI BIZTOS