Tudta, hogy már egy rossz helyre küldött e-mailt is jelenteni kell?

2018.08.07. 18:49

A május végén hatályba lépett uniós adatvédelmi szabályozás első két hónapjában átlagosan naponta egy adatvédelmi incidenst jelentettek be a vállalkozások. Ez az incidensek valós számának valószínűleg csak a töredéke.

A Nemzeti Adatvédelmi és Információszabadság Hatóságtól közérdekű adatigénylésében kért tájékoztatást a GDPR-tanácsadás.hu oldal arra vonatkozóan, hogy a GDPR kötelező alkalmazásának első két hónapjában hány adatvédelmi incidenst jelentettek be a hatósághoz.

A szakportál a jellemző adatvédelmi incidensekre és azok részleteire is kíváncsi volt.

A NAIH elnökének válasza szerint hozzájuk 2018. május 25. és július 25. között meglehetősen alacsony számban, mindösszesen 79 esetben jelentettek be adatvédelmi incidenst. Írországban ugyanezen idő alatt 1 184 bejelentés érkezett az adatvédelmi hatósághoz. A különbségre az ad magyarázatot, hogy ott már a GDPR bevezetése előtt is kötelező volt bejelenteni az adatvédelmi incidenseket, így a cégek jobban hozzászoktak ehhez.

A magyar adatvédelmi hatósághoz bejelentett adatvédelmi incidensek a bejelentés tartalmát tekintve az alábbi kategóriákba sorolhatóak:

  • téves címre postán/telefonon/e-mailben elküldött személyes adatokat tartalmazó küldemény: összesen 45 incidensbejelentés,
  • személyes adatok nagy nyilvánosság előtti jogellenes közzététele (pl. e-mail-es levelezőlistában az összes címzett látja a többiek címét is): összesen 11 incidensbejelentés,
  • személyes adatok jogellenes megismerése illetéktelen hozzáféréssel (pl. hackertámadás, vírustámadás): összesen 12 incidensbejelentés,
  • személyes adatokat tartalmazó adathordozó (pl. laptop, telefon) elveszítése: összesen 4 incidensbejelentés,
  • személyiséglopás az érintett e-mail címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: összesen 3 incidensbejelentés.
  • téves dokumentumküldés az ügyfélnek (sablon helyett jelentés): összesen 1 incidensbejelentés,
  • jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: összesen 1 incidensbejelentés,
  • az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: összesen 1 incidensbejelentés,
  • személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: összesen 1 incidensbejelentés.

Ezekben összesen 21 688 ügyfél és 19 137 szolgáltatás-felhasználó volt érintett a beérkezett bejelentések szerint. Ezen túlmenően a NAIH jelenleg is vizsgál egy körülbelül 92,3 millió adatot érintő nemzetközi incidenst, de még nem állnak rendelkezésre pontos adatok az érintett magyar felhasználók számáról. Az adatkezelő alkalmazottjai, illetve munkavállalói 879 esetben voltak érintettek a jelentések szerint. A személyazonossághoz kapcsolódó adatok 16 376 alkalommal voltak érintettek, gazdasági, pénzügyi adatok pedig 531 alkalommal.

Egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensForrás: Science Photo Library/LEONELLO CALVETTI/SCIENCE PHOTO LIBRARY/Leonello Calvetti/Science Photo

Az átlagosan napi egy bejelentett adatvédelmi incidens nyilvánvalóan nem tükrözi a ténylegesen bekövetkezett adatvédelmi incidensek számát a több százezer közül. A vállalkozások valószínűleg még nincsenek tisztában azzal, hogy egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensnek minősülhet. Amennyiben a hatóság nem az adatkezelésért felelőstől értesül az adatvédelmi incidensről, az adatkezelő lényegesen szigorúbb elbírálásra számíthat a kiszabandó bírságok tekintetében. Az adatvédelmi tudatosság várható növekedése vélhetően a bejelentett incidensek számának rohamos gyarapodását hozza majd.

A teljes cikk a Piacésprofit.hu oldalán olvasható.

adatvédelmi incidensgdprNAIH