szerző:
hvg.hu

Hiába minden elővigyázatosság, még a legnagyobb óvintézkedések mellett is előfordulhat, hogy egy cégtől a munkavállalókra vagy ügyfelekre vonatkozó személyes adatok kerülnek ki. Éppen ezért nem árt tudni, mi a teendő ilyen esetben.

Hosszas előkészítés után május 25-én lép hatályba az EU Általános Adatvédelmi Rendelete (General Data Protection Regulation), azaz a GDPR. Az Európai Unió egy olyan adatvédelmi szabályozást dolgozott ki, amely szigorú előírásainak köszönhetően minden eddiginél nagyobb biztonságba helyezi majd a cégek munkavállalókról és/vagy ügyfelekről tárolt adatait.

A GDPR egyik alapelve szerint a személyes adatok kezelését úgy kell megszervezni, hogy az alkalmazott technológia és a kezelési módszer képes legyen megakadályozni a jogosulatlan hozzáférést, és minimálisra csökkentse az adatok elvesztésének lehetőségét. Ám még a legnagyobb odafigyelés mellett is előfordulhat, hogy beüt a baj, és a cégtől valamilyen módon adatok kerülnek ki. Mi a teendő ilyenkor?

©

"Az adatkezelés biztonságával kapcsolatos kötelezettségként írja elő a GDPR, hogy az adatkezelők olyan eszközöket alkalmazzanak, amelyek képesek biztonságossá tenni az adatokat. Ilyen megoldás lehet például a személyes adatok titkosítása. Ha pedig valamilyen fizikai incidens fordulna elő, biztosítani kell, hogy a személyes adatokhoz továbbra is hozzá lehessen férni vagy a visszaállítást meg lehessen tenni" – mondta a hvg.hu-nak Vári Csaba, a DLA Piper Magyarország ügyvédje.

A szakember szerint ha mégis megtörténik az incidens, az adatkezelőnek többféle tennivalója is lesz. Először is a lehető leghamarabb fel kell mérni a rizikót, hogy az érintettek – vagyis akiknek az adatait érintette a szivárgás/lopás – szabadságára, jogaira nézve milyen jellegű kockázattal kell számolni. Mindez azért is fontos, mert a további teendőket is ez határozza meg.

"Ha kockázatot jelent az eset, akkor azt 72 órán belül be kell jelenteni a hatósághoz, és a lehető legtöbb információt kell a részére átadni – például az érintettek és a személyes adatok kategóriái, a várható következmények vagy az incidens orvoslására tett vagy tervezett intézkedések. Ha pedig különösen nagy a kockázat, nem csak a hatóságot, hanem az érintetteket is tájékoztatni kell" – árulta el Vári.

©

A GDPR arra azonban nem tér ki, hogy milyen szintű szivárgás jelent magas, és milyen kevésbé kockázatos incidenst. Vagyis a felelősség ebből a szempontból a cégeket terheli, nekik kell ugyanis dönteniük arról, hogy bejelentik-e a történteket. Ebben a joggyakorlat – mint az EU-tagállamok adatvédelmi biztosaiból és tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport iránymutatásai – nyújthat segítséget az adatkezelők részére.

"Előfordulhat, hogy egy munkavállaló elveszít egy pendrive-ot, ami tele van ügyféladatokkal. Ha a pendrive-on van titkosítás, a cég pedig arra a következtetésre jut, hogy azt nem törték/törhették fel, akkor nem feltétlenül kell bejelentést tenni a hatóságnak. Ha azonban megfejthető a kulcs, akkor minden további nélkül meg kell ezt tenni" – említette példaként az ügyvéd.

A szakember szerint arra is többféle megoldás létezik, hogy nagy adatszivárgás – például tömeges banki vagy egészségügyi adatok – esetén milyen formában tájékoztassák az érintetteket. Ez történhet hivatalos úton, például egy weboldalon megjelentetett közleménnyel, esetleg e-mail formájában, de a média segítségével is lebonyolítható a tájékoztatás.

©

"A cégeknek alapvetően mindent el kell követniük, hogy csökkentsék a lehetséges következmények mértékét. Ha már bekövetkezett az adatszivárgás, meg kell vizsgálni, hogy milyen úton juthattak be a hackerek a cég rendszerébe. Az IT-eszközök segítségével pedig mindent el kell követni annak érdekében, hogy ilyen incidens ne fordulhasson elő még egyszer" – tette hozzá Vári Csaba.

A fizikai adathordozókat gyártó Kingston EMEA-régióban (Európa, Közel-Kelet és Afrika) végzett kutatásának eredményei szerint a térségbéli vállalatok adatkezelési kockázat szempontjából még mindig alulértékelik a pendrive-okat. A felmérés ugyan nem reprezentatív, de a 3055, főként kkv középvezetői körből kiválasztott minta miatt már hordoz tanulságokat. A válaszokból kiderül, a szervezetek mintegy kétharmada nem alkalmaz megfelelő intézkedéseket annak érdekében, hogy biztonságosan tárolják az adatokat a pendrive-okon. A hazai vállalatok 34 százaléka nem is tervez változtatást ezen a téren.

Érdekesnek találta cikkünket?
Legyen HVG pártoló tag!

A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Tagjainknak heti exkluzív hírlevelet küldünk, rendezvényeket kínálunk, a könyveinkre és egyéb termékeinkre pedig komoly kedvezményt adunk. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! „Amikor annyira eluralkodik a mindennapi életünkön a virtualitás, üdítő igazi emberi kapcsolatokat építeni.”
K. Erna – Pártoló tag


„Régóta olvasom a HVG-t és cikkei között mindennap találok érdekfeszítőt!”
H. Szabolcs - Támogató
Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!
A HVG Pártoló Tagság programja az első olyan kezdeményezés, aminek keretében az olvasóink közelebb kerülhetnek szerkesztőségünkhöz, és támogatásukkal segíthetik, hogy újságírói munkánkat továbbra is az eddig megszokott magas színvonalon végezhessük. Támogatóként már heti egy kávé árával is hozzájárulhat a minőségi újságíráshoz! Csatlakozzon programunkhoz, támogassa munkánkat egyszeri hozzájárulással vagy fizessen elő a hetilapra!