Az EU már hatályban lévő, és 2018. május 25-től hazánkban is kötelezően alkalmazandó általános adatvédelmi rendelete a jelenleginél szigorúbb szabályokat vezet be az adatvédelmi incidens kezelésére vonatkozóan. Jelen írás gyakorlati tanácsokat ad az adatvédelmi incidensek értékeléséhez és kezeléséhez.
Az adatvédelmi incidens alatt a rendelet értelémben a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. Következésképpen, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
Az adatvédelmi incidensről szóló bejelentésben legalább:
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az EU szakosított ügynöksége, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást (Recommendations for a methodology of the assessment of severity of personal data breaches) fogalmazott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg az adatvédelmi incidens súlyosságát. A 27 oldalas dokumentumban az ENISA gyakorlati segítséget ad ahhoz, hogy az értékelést elvégezzük. Ennek során konkrét lépéseken keresztül mutatja be az elvégzendő feladatokat.
Az adatvédelmi incidens súlyossága értékelésének fő kritériumai a következők:
- Az Adatkezelési Környezet (AK) vizsgálata: a megsérült adatok fajtáját veszi górcső alá, beleértve az adatkezelés valamennyi körülményét
- Az Azonosíthatóság Mértékének (AM) meghatározása: azt tárja fel, hogy az adatvédelmi incidenssel érintett adatokból mennyire könnyen lehet az érintettek azonosítását elvégezni
- A Sérülés Körülményeinek (SK) leírása: a sérülés körülményeit vizsgálja, elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és a szándékosságra utaló valamennyi jelet
Az ajánlás segítséget nyújt az incidensben érintett adatok típusának meghatározásában (egyszerű adat, pénzügyi adat, viselkedésre vonatkozó adat, érzékeny adat), az eset körülményeinek feltérképezésében (a veszélyességet csökkentő, illetve növelő faktorok), és végül a veszély súlyosságának (VS) objektív mérők szerinti megállapításában:
VS = AK x AM + SK
A vizsgálat eredményeként az adatvédelmi incidens súlyosságának alacsony, közepes, magas vagy nagyon magas fokozatát állapíthatjuk meg.
A francia adatvédelmi hatóság (CNIL) a magyar adatkezelők számára is hasznos formanyomtatványt rendszeresített az adatvédelmi incidensek bejelentésére. Franciaországban a telekommunikációs cégeknek a hatályos jogszabályok szerint 24 órán belül értesíteniük kell az adatvédelmi hatóságot az adatvédelmi incidensekről.
Hollandiában 2016. január 1-től kötelező bejelenteni az adatvédelmi incidenseket. Az első 100 napban közel 1,000 esetet jelentettek be, míg éves szinten Hollandiában 6,000 bejelentést várnak a 130,000 adatkezelő szervezettől. A leggyakoribb jelentett incidensek a laptop vagy mobil telefon elvesztéséből; személyes adatok nem biztonságos tárolásából (pl. szemetesbe dobott fizetési papírok); adatok nem biztonságos továbbításából (pl.: orvosi adatok nem biztonságos hálózaton történő továbbítása); ellopott adatok váltságdíjért való visszaszolgáltatása (un. zsarolóprogramok) voltak. Ami érdekes, hogy a négy leggyakoribb eseményből három gondatlan, és csak egy szándékos cselekmények következménye.
Az Egyesült Királyság hatósága (ICO) által kiadott útmutató kiváló szempontokat ad arra vonatkozóan, hogy milyen esetben, milyen módon, kiket és pontosan miről értesítsünk az adatvédelmi incidens kezelése során. Amint az a szigetországi útmutatóból kiderül az is egy fontos szempont, hogy a média értesült-e már az incidensről. Esetleg szükség lehet harmadik fél: rendőrség, biztosító társaság, bank bevonására is a veszélyek minimalizálása érdekében.
A Nemzeti Adatvédelmi és Információszabadság Hatóságra (NAIH) még vár a feladat, hogy legkésőbb 2018 májusáig felállítsa az adatvédelmi incidensek bejelentésére szolgáló felületet, formanyomtatványt, esetlegesen egy általa elfogadott értékelési módszertant.
Az uniós adatvédelmi rendelet értelmében ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.
A megfelelő értékelés, intézkedési terv, majd bejelentés elkészítése különösen annak tükrében bír kiemelt jelentőséggel, hogy az adatvédelmi hatóság az adatkezelőt az adatvédelmi incidens nem megfelelő módon történő kezelése esetén 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összeggel sújthatja. Egy megfelelő szakmai igényességgel elkészített incidens vizsgálat ugyanakkor jelentősen csökkentheti a kiszabandó bírság összegét. Mindez az EU adatvédelmi rendeletének hatályba lépése, 2018. május 25. követően.
A Szerző az International Association of Privacy Professionals (IAPP) tagja.
=====
Az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) a hálózat- és információbiztonság európai szakértői központja. Az ENISA segít az EU-nak és az EU tagországainak abban, hogy jobban fel legyenek készülve az információbiztonsági kihívások felderítésére és kezelésére, illetve megelőzésére. Az ENISA gyakorlati tanácsokkal és megoldásokkal szolgál az EU-tagállamok köz- és magánszektorbeli szereplőinek és az uniós intézményeknek a hálózat- és információbiztonság területén.
