Hosszas előkészítés után május 25-én lép hatályba az EU Általános Adatvédelmi Rendelete (General Data Protection Regulation), azaz a GDPR. Az Európai Unió egy olyan adatvédelmi szabályozást dolgozott ki, amely szigorú előírásainak köszönhetően minden eddiginél nagyobb biztonságba helyezi majd a cégek munkavállalókról és/vagy ügyfelekről tárolt adatait.

A GDPR egyik alapelve szerint a személyes adatok kezelését úgy kell megszervezni, hogy az alkalmazott technológia és a kezelési módszer képes legyen megakadályozni a jogosulatlan hozzáférést, és minimálisra csökkentse az adatok elvesztésének lehetőségét. Ám még a legnagyobb odafigyelés mellett is előfordulhat, hogy beüt a baj, és a cégtől valamilyen módon adatok kerülnek ki. Mi a teendő ilyenkor?

"Az adatkezelés biztonságával kapcsolatos kötelezettségként írja elő a GDPR, hogy az adatkezelők olyan eszközöket alkalmazzanak, amelyek képesek biztonságossá tenni az adatokat. Ilyen megoldás lehet például a személyes adatok titkosítása. Ha pedig valamilyen fizikai incidens fordulna elő, biztosítani kell, hogy a személyes adatokhoz továbbra is hozzá lehessen férni vagy a visszaállítást meg lehessen tenni" – mondta a hvg.hu-nak Vári Csaba, a DLA Piper Magyarország ügyvédje.

A szakember szerint ha mégis megtörténik az incidens, az adatkezelőnek többféle tennivalója is lesz. Először is a lehető leghamarabb fel kell mérni a rizikót, hogy az érintettek – vagyis akiknek az adatait érintette a szivárgás/lopás – szabadságára, jogaira nézve milyen jellegű kockázattal kell számolni. Mindez azért is fontos, mert a további teendőket is ez határozza meg.

"Ha kockázatot jelent az eset, akkor azt 72 órán belül be kell jelenteni a hatósághoz, és a lehető legtöbb információt kell a részére átadni – például az érintettek és a személyes adatok kategóriái, a várható következmények vagy az incidens orvoslására tett vagy tervezett intézkedések. Ha pedig különösen nagy a kockázat, nem csak a hatóságot, hanem az érintetteket is tájékoztatni kell" – árulta el Vári.

A GDPR arra azonban nem tér ki, hogy milyen szintű szivárgás jelent magas, és milyen kevésbé kockázatos incidenst. Vagyis a felelősség ebből a szempontból a cégeket terheli, nekik kell ugyanis dönteniük arról, hogy bejelentik-e a történteket. Ebben a joggyakorlat – mint az EU-tagállamok adatvédelmi biztosaiból és tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport iránymutatásai – nyújthat segítséget az adatkezelők részére.

"Előfordulhat, hogy egy munkavállaló elveszít egy pendrive-ot, ami tele van ügyféladatokkal. Ha a pendrive-on van titkosítás, a cég pedig arra a következtetésre jut, hogy azt nem törték/törhették fel, akkor nem feltétlenül kell bejelentést tenni a hatóságnak. Ha azonban megfejthető a kulcs, akkor minden további nélkül meg kell ezt tenni" – említette példaként az ügyvéd.

A szakember szerint arra is többféle megoldás létezik, hogy nagy adatszivárgás – például tömeges banki vagy egészségügyi adatok – esetén milyen formában tájékoztassák az érintetteket. Ez történhet hivatalos úton, például egy weboldalon megjelentetett közleménnyel, esetleg e-mail formájában, de a média segítségével is lebonyolítható a tájékoztatás.

"A cégeknek alapvetően mindent el kell követniük, hogy csökkentsék a lehetséges következmények mértékét. Ha már bekövetkezett az adatszivárgás, meg kell vizsgálni, hogy milyen úton juthattak be a hackerek a cég rendszerébe. Az IT-eszközök segítségével pedig mindent el kell követni annak érdekében, hogy ilyen incidens ne fordulhasson elő még egyszer" – tette hozzá Vári Csaba.