Dr. Eszteri Dániel - Adatvédelmi incidensek

2020. november 12. Ferencz Adrienn, Budapest

Az adatkezelők és -feldolgozók felelőssége, hogy mindent megtegyenek a személyes adatok biztonságos kezelése érdekében, de egy adatvédelmi incidens akár tökéletes biztonsági intézkedések mellett is bekövetkezhet" - mondja Eszteri Dániel, a NAIH adatvédelmi jogásza. De mit is jelent az adatvédelmi incidens? Miként határolható el a jogellenes adatkezeléstől? Mikor etikus egy hacker? - Erről beszélgettünk.

Mit is jelent az adatvédelmi incidens? Milyen besorolási szempontok alapján határolhatóak el az adatvédelmi incidensek?

Az adatvédelmi incidens a GDPR 4. cikk 12. pontjában rögzített fogalma szerint a biztonság olyan sérülését jelenti, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A fogalmat két kulcselemre tudnám felbontani, egyrészt az adatvédelmi incidens mindenképpen egy biztonsági eseményre kell, hogy visszavezethető legyen, másrészt ebből a biztonsági sérülésből kell majd következnie egy jogellenes vagy véletlen személyes adat közlésnek, vagy adott esetben megsemmisülésnek, elvesztésnek, jogosulatlan hozzáférésnek.

Az adatkezelők és adatfeldolgozók felelőssége, hogy lehetőleg mindent megtegyenek a személyes adatok biztonságos kezelése érdekében, de egy adatvédelmi incidens ettől függetlenül, akár tökéletes biztonsági intézkedések mellett bekövetkezhet. Legtöbbször az incidensek az adatkezelők szervezetrendszerén kívül álló eseményekre vezethetőek vissza, vagy valamilyen belső mulasztás, figyelmetlenség áll a háttérben. Gyakori példa egy külső hackertámadás bekövetkezése, pl. egy jelentősebb adatmennyiséget kezelő egészségügyi szolgáltató rendszerében sérülékenység érzékelhető, amelyet egy hacker felfedez, így a páciensek különleges adatai könnyen eshetnek a jogosulatlan hozzáférés áldozatául - az adatvédelmi incidens máris bekövetkezett.

Dr. Eszteri Dániel

Fotó: Mohai Balázs / Jogi Fórum

Miként határható el az adatvédelmi incidens a jogellenes adatkezeléstől?

Az adatvédelmi incidens mindig egy biztonsági eseményre kell, hogy visszavezethető legyen. Ilyen például a rendszerek hibás működése, elavult biztonsági intézkedések alkalmazása, biztonsági rések felfedezése, ügyintézői mulasztás vagy figyelmetlenség. Ezzel ellentétben a jogellenes adatkezelés alapvetően egy adatkezelő részéről gyakorolt tudatos és szándékos magatartás, akkor is, ha az adatkezelő nem feltétlenül van tisztában annak jogellenességével (pl. megfelelő jogalap nélkül kezel egészségügyi adatokat).

Egy kibertámadás is minősülhet adatvédelmi incidensnek?

Azt mindenképpen leszögezném, hogy – amint az a GDPR fogalom-meghatározásából is levezethető - az adatvédelmi incidensnek mindenképpen személyes adatokat kell érintenie. Amennyiben egy kibertámadás keretében törnek fel egy számítógépes rendszert, és ezen a csatornán keresztül jutnak hozzá személyes adatokhoz, akkor igen.

Miként kezelendő az adatvédelmi incidens? Milyen kötelezettség terheli az adatvédelmi tisztviselőt annak észlelése esetén?

A GDPR meghatározza, hogy amennyiben bekövetkezik az incidens és ezt az adatkezelő észleli – a Rendelet úgy fogalmaz, hogy a „tudomására jut” – akkor a tudomásra jutástól számítva az adatkezelőnek van egy incidenskezelési kötelezettsége. Az incidenskezelés egyik kardinális pontját képezi a kockázatelemzés, amely során az érintettek „jogaira és szabadságaira jelentett kockázatokat” kell felmérnie az adatkezelőnek.

A GDPR három kockázati kategóriát különít el, egyrészt beszélhetünk (i.) nem kockázatos incidensről, (ii.) kockázatos, valamint (iii.) magas kockázatú incidensről. A kockázatelemzés szinte mindig megelőzi a Nemzeti Adatvédelmi és Információszabadság Hatóság irányába tett bejelentést, amelyet az észlelést követő 72 órán belül meg kell tennie az adatkezelőnek. A Rendeletet számos kritika érte (elsősorban adatkezelői oldalról) a bejelentésre nyitva álló időintervallumra vonatkozóan, azonban ezt a 72 órás időkaput szigorúan kell venni. Lehetőség van szakaszos bejelentésre is, amennyiben az adatkezelő 72 órán belül nem tudja felmérni teljes körűen a kockázatokat, a bejelentésnek azonban eleget kell tennie.

Az incidens bejelentést bármilyen – írásbeli - formában meg lehet tenni, fogadunk postai úton, valamint e-mailben benyújtott bejelentést, illetve van erre egy külön elektronikus rendszerünk is. Mi arra ösztönözzük az adatkezelőket, hogy használják a NAIH erre létrehozott, a honlapon elérhető felületét.

Akár az is előfordulhat, hogy egy genetikai adatokat is érintő incidens során kizárható, hogy azokhoz bárki jogosulatlanul hozzáfért, mert például az adatokat olyan erős, a technika jelen állása szerint feltörhetetlen titkosítással látták el. Ebben az esetben ez legtöbbször nem minősül még kockázatos incidensnek sem, és bejelentési kötelezettség sem terheli az adatkezelőt – annak tényét csupán nyilvántartásba kell vennie.

A GDPR előírja, hogy minden adatvédelmi incidenst az adatkezelőnek vezetnie kell egy belső nyilvántartásban, a nyilvántartást azonban nem kell nyilvánosságra hozni.

Ha az adatkezelőnél van kijelölt adatvédelmi tisztviselő, úgy segíteni kell az adatkezelőt az incidens kockázati besorolásának meghatározásában, tanácsot adhat annak kezelését illetően és a NAIH-al is tarthatja a kapcsolatot az esetleges hatósági eljárás során. A GDPR szerinti felelősség az incidensek tekintetében azonban fő szabály szerint az adatkezelőt terheli.

Hol helyezkedik el a határvonal a kockázati besorolásoknál?

Ez egy nagyon jó kérdés, mivel Rendelet ezt nem határozza meg, de az Európai Adatvédelmi Testület elődje, az ún. 29-es Adatvédelmi Munkacsoport bocsátott ki iránymutatást az adatvédelmi incidensek kezeléséről és a kockázatok felméréséről. Az iránymutatás határoz meg kvázi zsinórmértéket azzal kapcsolatban, hogy mi az, amit kockázatosnak, vagy magas kockázatú incidensnek kell tekinteni és melyek azok az esetek, amelyek egyáltalán nem jelentenek kockázatot a természetes személyek magánszférájára nézve.

Általánosságban az egy elfogadott álláspont, hogy amikor különleges adatokat (pl. egészségügyi adatok, biometrikus azonosító adatok) is érint az incidens, akkor azt legtöbb esetben kockázatos incidensnek kell tekinteni. A magas kockázati besorolásnál az adatkezelőnek már az érintteti kör tudomására is kell hoznia, hogy a biztonság sérülése a személyes adataikat is érintette. Egy magas kockázatú incidensnél a GDPR 34. cikke azt írja elő, hogy ebben az esetben az érintetteket mindenképpen tájékoztatni kell. Egy ilyen incidensnek lehetnek tovagyűrűző következményei is, amire az adatkezelő már nem tud hatást gyakorolni. Ékes példája ennek, hogy sokan hajlamosak vagyunk azonos jelszavakat használni számos internetes szolgáltatásnál, amely például az ezekhez való illetéktelen hozzáférés esetén további problémákat generálhat. Ilyenkor mindenképpen értesíteni kell az érintetteket is, hogy meg tudják tenni ők is azokat az intézkedéseket – így jelen esetben valamennyi jelszavuk megváltoztatását –, amelyre az adatkezelőnek már nincs ráhatása.

Dr. Eszteri Dániel

Fotó: Mohai Balázs / Jogi Fórum

Hogyan jár el az adatvédelmi hatóság az incidens bejelentéseket követően?

Minden bejelentés során hatósági ellenőrzés indul az általános közigazgatási rendtartás szabályai szerint. Az ellenőrzésre nyitva álló határidő 60 nap, amely alatt az adatvédelmi hatóság feladata megvizsgálni, hogy hivatalbóli tudomásszerzés alapján felmerül-e egyáltalán a jogsértés gyanúja.

A NAIH két féle megállapításra juthat: egyrészt megállapítja, hogy az adatkezelő megfelelően kezelte az adatvédelmi incidenst és gyakorlatilag mindent megtett, amit számára a GDPR előír. Ekkor a hatóság megállapítja, hogy nem merült fel arra vonatkozó körülmény, amely hatósági eljárás megindítását indokolná. Másrészt, ha mégis felmerül a GDPR előírásainak való megfeleléssel kapcsolatban jogsértés gyanúja, akkor a hatóság hivatalból megindítja az ún. adatvédelmi hatósági eljárást, amely már az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben rögzítettek szerint zajlik.

Az Infotv. egy viszonylag hosszú, 150 napos határidőt biztosít a hatóságnak a tényfeltárásra. Jogsértés megállapítása esetén a NAIH bírságot szabhat ki, a bírság kiszabása viszont – a hiedelmekkel ellentétben – nem kötelező. Számos esetben „úszta meg” az adatkezelő egy egyszerű figyelmeztetéssel az ügyet a hatósági eljárás végén a jogsértés csekély súlya miatt.

Előfordult már olyan eset is azonban, hogy alapvetően jó incidens-kezelési gyakorlat tapasztalása mellett is szabtunk ki bírságot, ez az ominózus DIGI-ügyben merült fel. Itt egy hacker fedezett fel a rendszerben egy sérülékenységet, amelyet szabályszerűen, 72 órán belül jelentett is a DIGI a hatóság irányába. Utóbb kiderült, hogy az adatbázis, amihez a hacker hozzáfért, egy olyan adatbázis volt, amelyet a adatkezelőnek már több, mint egy évvel ezelőtt törölnie kellett volna – így ők jogalap és cél nélkül, tehát alapelvi szinten sértően tároltak sok százezer, előfizetőkhöz köthető érzékeny személyes adatot ez idő alatt. A hacker által felfedezett sérülékenység pedig 9 éve ismert volt a piacon, amelyet az adatkezelő mégsem korrigált. A NAIH ebben az ügyben szabta ki az eddigi legnagyobb – 100 millió forintos – bírságot.

Miként alakul a NAIH bírságolási gyakorlata az incidens bejelentések tekintetében? Milyen szempontokat vesz figyelembe a bírság kiszabásánál?

A GDPR 83. cikke generálisan meghatározza a bírságkiszabás szempontjait, amelyre vonatkozóan a maximálisan kiszabható bírság adatvédelmi incidenskezelés szempontjából 10 millió euró, vagy vállalkozások esetén az előző év pénzügyi év világpiaci forgalmának 2%-a. A bírság kiszabásánál többek között figyelembe veendő az érintettek száma, a jogsértés szándékos vagy gondatlan jellege, a jogsértés fenn álltának ideje, valamint az adatkezelő gazdasági súlya – konszolidált éves nettó árbevétele – is rendkívül mérvadó. A bírság kiszabásának nemcsak speciál-, hanem generál-preventív funkciója is van.

Dr. Eszteri Dániel

Fotó: Mohai Balázs / Jogi Fórum

A NAIH számos szempontot figyelembe vesz a bírság kiszabásakor, e tekintetben a határidők betartását rendkívül szigorúan kezeljük. Tavaly sajtóhírként is elterjedt, hogy a Budapesti Rendőr-főkapitányság egyik dolgozója egy titkosítással nem ellátott és lajstromba sem vett pendrive-ot veszített el, amely a személyi állományt érintően jelentős mennyiségű, több ezer főt érintő adatot tartalmazott. A BRFK a 72 órán belüli bejelentési kötelezettségének közel 45 napon belül tett csak eleget, így az adatvédelmi hatóság a határozatának indokolásában kitért arra, hogy a BRFK, mint az ország egyik legnagyobb rendvédelmi szerve, napi szinten is rendkívül nagy mennyiségű és érzékeny (pl. bűnügyi) személyes adatot kezel, így a személyes adatok biztonságának garantálása tekintetében fokozottabb figyelemmel és szakértelemmel kell eljárnia. Itt a GDPR szerinti határidő be nem tartása, a belső incidenskezelési folyamat és eljárás adott teret az 5 millió forintos bírság kiszabásának.

Milyen jogkövetkezményekre kell számítaniuk a bejelentést elmulasztó cégeknek, adatkezelőknek?

Sok cég úgy kezeli ezt a kérdést, hogy gyakorlatilag egy „önfeljelentés-dilemmát” okoz nekik az incidens bejelentés. Megéri-e az nekem, hogy bejelentem az incidenst, amiért kapok majd 50 millió forint bírságot, vagy inkább nem jelentem be és utólag a hatóság vagy feltárja a saját eszközeivel - vagy nem?

Azt szeretném leszögezni, hogy nem egy olyan ügyünk volt, ahol kiderült, hogy történt egy viszonylag súlyos incidens, amelyet az adatkezelő igyekezett elhallgatni, de valamiért mégis a tudomásunkra jutott, mint felügyeleti hatóságnak. Volt olyan ügy is, amely emiatt bírságolással végződött. Ez különösen jellemző a hackertámadásokkal érintett ügyekre - ezt példázza egy politikai párt honlapját feltörő hackerrel összefüggésbe hozható – felhasználóneveket és jelszavakat is érintő - adatvédelmi incidens, amely során a hacker hívta fel a figyelmet a biztonság sérülékenységére, mind a párt, mind az adatvédelmi hatóság irányába.

Etikus hackernek minősült ez a személy?

Érdekes kérdés, mivel adatvédelmi és incidenskezelési szempontból ennek nincs jelentősége, hogy a hacker etikus hackerként járt-e el vagy sem. Etikus hackernek nevezhetőek azok, akiket egy cég bíz meg arra a célra, hogy felmérjék van-e biztonsági rés a rendszerükben, amely alkalmas lehet egy incidens bekövetkezésére, így az általuk gyakorolt tevékenység nem minősül bűncselekménynek. Általában ezeket a hackereket tekinti a szakirodalom etikus hackernek.

Az öncélúan (az adatkezelő tudta és megbízása nélkül) a rendszerben sérülékenységet kereső, de alapvetően jó szándék vezérelte hackert nem szokták etikus hackernek hívni, cselekményéért büntetőjogi szempontból pedig felelősségre vonható – arról azonban lehetne vitatkozni, hogy a cselekménye társadalomra veszélyessége mennyire állt fenn.

A párt rendszerébe bejutó hackert nem a párt bízta meg erre a tevékenységre, így véleményem szerint nem tekinthető szűk értelemben etikus hackernek. A kiszivárgott adatok egyébként utóbb egy hacker-fórumon is megjelentek, amelyről politikai véleményre is lehet következtetni - és valljuk be, akár évtizedekig is releváns lehet a közbeszédben egy párt szimpatizánsainak, tagjainak egykori politikai hovatartozása.

Dr. Eszteri Dániel

Fotó: Mohai Balázs / Jogi Fórum

Mit tehet az érintett, akinek adatvédelmi incidens során kerülnek illetéktelenek ”kezébe” a személyes adatai?

Gyakori az érintteti észlelés, ilyenkor sok esetben megfelelően valószínűsíti az érintett, hogy mely adatkezelőtől kerülhettek ki az adatai, ilyenkor több lehetősége is fennáll. Egyrészt jelezheti az aggályát az adatkezelő irányába, ekkor az adatkezelő GDPR-ból eredő kötelezettsége az érintett tájékoztatása arra vonatkozóan, hogy bármilyen adatvédelmi incidens keretében sérült-e a személyes adatainak biztonsága. A másik lehetősége, hogy közvetlenül az adatvédelmi hatósághoz fordul.

Azt tapasztaljuk, hogy viszonylag sok az olyan érintetti bejelentés, amelyben nem következett be a biztonság sérülése és így személyes adatok kiszivárgása, hanem a nem kis számban elterjedt csaló-levelekben előadottak keltettek félelmet az érintettben. Az ilyen csaló levelekben a feladó által előadott történetek (pl. feltörtem a laptopod kameráját és lefilmeztelek) legtöbbször nem igazak, csupán a félelemkeltést és azt célozzák, hogy a címzettől minél több pénzt csikarhassanak ki személyes adataira hivatkozva.

Az adatvédelmi hatóság a gyanú esetén indíthat hatósági ellenőrzést arra vonatkozóan, hogy feltárja az esetlegesen személyes adatokat érintő adatvédelmi incidenst. Arra is volt már példa, hogy elegendő bizonyítékot nyújtott be az érintett, amelyekkel alátámasztotta, hogy a csalás során jelentős anyagi kár is érte, ekkor áttettük az ügyet a nyomozó hatósághoz, mivel bűncselekmény gyanúja esetén már ők jogosultak az ügyben eljárni.


Eszteri Dániel 2011-ben végzett a Pécsi Tudományegyetem Állam- és Jogtudományi Karán. Az egyetemi évek alatt ERASMUS ösztöndíjjal nemzetközi jogot és EU jogot tanult Németországban a Trieri Egyetemen, továbbá részt vett a XXX. Tudományos Diákköri Konferencián, ahol a Jogi Informatika szekcióban többszörösen díjazták pályamunkáját.

2015-ben tudományos doktori (Ph.D.) fokozatot szerzett a Pécsi Tudományegyetem Állam- és Jogtudományi Karán disszertációjával, amelyben a tulajdonjog viselkedését elemezte különböző virtuális gazdaságokban (pl. online játékok, „életszimulátorok”, kriptovaluták). 2017-ben jogi szakvizsgát tett.

2011 és 2014 között a BRFK Gazdaságvédelmi Főosztály Számítógépes Bűnözés Elleni Alosztályának munkatársa volt, ahol kiemelt súlyú informatikai és gazdasági bűncselekmények nyomozásával, valamint nemzetközi bűnügyi jogsegélykérelmek teljesítésével foglalkozott.

2014-től a Nemzeti Adatvédelmi és Információszabadság Hatóság munkatársa, ahol 2018-ig a Nemzetközi Kapcsolatok Főosztályán, majd 2018-tól az Engedélyezési és Incidensbejelentési Főosztályon dolgozik. Jelenleg a főosztályon az Incidensbejelentési Osztályt vezeti és ellátja a főosztályvezető általános szakmai helyettesítését. Az Európai Adatvédelmi Testület Compliance szakértői munkacsoportjának delegált magyar tagja.

A hatósági munka mellett az Eötvös Lóránd Tudományegyetem Jogi Továbbképző Intézetében, a Nemzeti Közszolgálati Egyetemen és a Károli Gáspár Református Egyetem Állam- és Jogtudományi Karán tanít megbízott oktatónként adatvédelmi jogot és büntetőjogot.
Rendszeresen publikál magyar és külföldi tudományos szakfolyóiratokban, tanulmánykötetekben. Kutatási területei a virtuális tulajdon, a mesterséges intelligencia és a blokklánc-technológia szabályozása elsősorban polgári jogi és adatvédelmi jogi szempontból. Az adatvédelmi jog területén több egyetemi jegyzet és könyvfejezet szerzője.

  • kapcsolódó anyagok
ADATVÉDELEM
NAIH