interword

Adatvédelmi incidensek a GDPR életbe lépése óta

Olvasási idő 3 perc
2018. 09. 18. kedd
Két hónap alatt 79 adatvédelmi incidensről értesült a magyar hatóság.

A GDPR által meghatározott definíció szerint adatvédelmi incidensnek minősül a "biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredeményezi".

Péterfalvi Attila, a NAIH elnökének elmondása alapján a Nemzeti Adatvédelmi és Információszabadság Hatósághoz 2018. május 25. - azaz a GDPR életbe lépése - és július 25. között összesen 79 adatvédelmi incidens-bejelentés történt Magyarországon. (Írországban - ahol ugye a Facebooknak és a Googlenek is van bejegyzett cége - ugyanekkor 1184 incidenst jelentettek.)

Milyen esetekben fordulak a hatósághoz?
A bejelentések tartalmát tekintve az alábbi 6 kategóriába lehet besorolni az adatvédelmi incidenseket:

  1.  Téves címre küldött személyes adatokat tartalmazó küldemény (postán / telefonon / emailben): 45 db
  2.  Személyes adatok nagy nyilvánosság előtti jogellenes közzététele - ilyen például, amikor a levelezőlistában az összes címzett látja a többi email címet is: 11 db
  3.  Személyes adatok jogellenes megismerése illetéktelen hozzáféréssel - mint például egy hackertámadás vagy vírustámadás: 12 db
  4.   Személyes adatokat tartalmazó adathordozó - telefon, laptop - elveszítése: 4 db
  5.  Személyiséglopás az érintett email címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: 3 db
  6.  Egyéb
    -  Téves dokumentumküldés az ügyfélnek: 1 db
    - Jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: 1 db
    - Az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: 1 db
    - Személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: 1 db

Bár a GDPR azt a követelményt támasztja az adatkezelővel szemben, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül - és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott - köteles bejelenteni, a hazai vállalkozások még nagy valószínűséggel nincsenek tisztában azzal, hogy akár egy rossz helyre küldött email is adatvédelmi incidensnek minősül. Így a kapott számok nem tükrözik teljesen a valóságot, hiszen életszerűtlen, hogy a közel 2 millió magyar vállalkozásnál alig több mint napi egy alkalommal történik adatvédelmi incidens.

A NAIH által készített adatvédelmi incidensbejelentő rendszert adatkezelőként ITT érhetjük el.

Amennyiben viszont érintettként szeretnénk panaszt tenni, azt a hatóság panaszbejelentő / online ügyindító rendszer használatával vagy az ugyfelszolgalat@naih.hu email címre küldött üzenettel tudjuk megtenni.

Te tudod, mi lehet adatvédelmi incidens?
Koppints IDE a példákért! 

Forrás: Jogi Fórum
Zsófi írta Zsófi