Ha mégis beüt a baj – szabályok és tanácsok adatszivárgás, adatlopás esetére

Hiába minden elővigyázatosság, még a legnagyobb óvintézkedések mellett is előfordulhat, hogy egy cégtől a munkavállalókra vagy ügyfelekre vonatkozó személyes adatok kerülnek ki. Éppen ezért nem árt tudni, mi a teendő ilyen esetben.

  • hvg.hu hvg.hu
Ha mégis beüt a baj – szabályok és tanácsok adatszivárgás, adatlopás esetére

Hosszas előkészítés után május 25-én lép hatályba az EU Általános Adatvédelmi Rendelete (General Data Protection Regulation), azaz a GDPR. Az Európai Unió egy olyan adatvédelmi szabályozást dolgozott ki, amely szigorú előírásainak köszönhetően minden eddiginél nagyobb biztonságba helyezi majd a cégek munkavállalókról és/vagy ügyfelekről tárolt adatait.

A GDPR egyik alapelve szerint a személyes adatok kezelését úgy kell megszervezni, hogy az alkalmazott technológia és a kezelési módszer képes legyen megakadályozni a jogosulatlan hozzáférést, és minimálisra csökkentse az adatok elvesztésének lehetőségét. Ám még a legnagyobb odafigyelés mellett is előfordulhat, hogy beüt a baj, és a cégtől valamilyen módon adatok kerülnek ki. Mi a teendő ilyenkor?

Vanrath

"Az adatkezelés biztonságával kapcsolatos kötelezettségként írja elő a GDPR, hogy az adatkezelők olyan eszközöket alkalmazzanak, amelyek képesek biztonságossá tenni az adatokat. Ilyen megoldás lehet például a személyes adatok titkosítása. Ha pedig valamilyen fizikai incidens fordulna elő, biztosítani kell, hogy a személyes adatokhoz továbbra is hozzá lehessen férni vagy a visszaállítást meg lehessen tenni" – mondta a hvg.hu-nak Vári Csaba, a DLA Piper Magyarország ügyvédje.

A szakember szerint ha mégis megtörténik az incidens, az adatkezelőnek többféle tennivalója is lesz. Először is a lehető leghamarabb fel kell mérni a rizikót, hogy az érintettek – vagyis akiknek az adatait érintette a szivárgás/lopás – szabadságára, jogaira nézve milyen jellegű kockázattal kell számolni. Mindez azért is fontos, mert a további teendőket is ez határozza meg.

"Ha kockázatot jelent az eset, akkor azt 72 órán belül be kell jelenteni a hatósághoz, és a lehető legtöbb információt kell a részére átadni – például az érintettek és a személyes adatok kategóriái, a várható következmények vagy az incidens orvoslására tett vagy tervezett intézkedések. Ha pedig különösen nagy a kockázat, nem csak a hatóságot, hanem az érintetteket is tájékoztatni kell" – árulta el Vári.

Japan Times

A GDPR arra azonban nem tér ki, hogy milyen szintű szivárgás jelent magas, és milyen kevésbé kockázatos incidenst. Vagyis a felelősség ebből a szempontból a cégeket terheli, nekik kell ugyanis dönteniük arról, hogy bejelentik-e a történteket. Ebben a joggyakorlat – mint az EU-tagállamok adatvédelmi biztosaiból és tagállami adatvédelmi hatóságok képviselőiből álló 29-es Adatvédelmi Munkacsoport iránymutatásai – nyújthat segítséget az adatkezelők részére.

"Előfordulhat, hogy egy munkavállaló elveszít egy pendrive-ot, ami tele van ügyféladatokkal. Ha a pendrive-on van titkosítás, a cég pedig arra a következtetésre jut, hogy azt nem törték/törhették fel, akkor nem feltétlenül kell bejelentést tenni a hatóságnak. Ha azonban megfejthető a kulcs, akkor minden további nélkül meg kell ezt tenni" – említette példaként az ügyvéd.

A szakember szerint arra is többféle megoldás létezik, hogy nagy adatszivárgás – például tömeges banki vagy egészségügyi adatok – esetén milyen formában tájékoztassák az érintetteket. Ez történhet hivatalos úton, például egy weboldalon megjelentetett közleménnyel, esetleg e-mail formájában, de a média segítségével is lebonyolítható a tájékoztatás.

Kaspersky Lab

"A cégeknek alapvetően mindent el kell követniük, hogy csökkentsék a lehetséges következmények mértékét. Ha már bekövetkezett az adatszivárgás, meg kell vizsgálni, hogy milyen úton juthattak be a hackerek a cég rendszerébe. Az IT-eszközök segítségével pedig mindent el kell követni annak érdekében, hogy ilyen incidens ne fordulhasson elő még egyszer" – tette hozzá Vári Csaba.

A fizikai adathordozókat gyártó Kingston EMEA-régióban (Európa, Közel-Kelet és Afrika) végzett kutatásának eredményei szerint a térségbéli vállalatok adatkezelési kockázat szempontjából még mindig alulértékelik a pendrive-okat. A felmérés ugyan nem reprezentatív, de a 3055, főként kkv középvezetői körből kiválasztott minta miatt már hordoz tanulságokat. A válaszokból kiderül, a szervezetek mintegy kétharmada nem alkalmaz megfelelő intézkedéseket annak érdekében, hogy biztonságosan tárolják az adatokat a pendrive-okon. A hazai vállalatok 34 százaléka nem is tervez változtatást ezen a téren.

Útmutató cégvezetőknek

Útmutató cégvezetőknek

Ilyen egyszerűen lopták el egy nő több száz millió forintot érő budai telkét

Ilyen egyszerűen lopták el egy nő több száz millió forintot érő budai telkét

Nyolc nap leforgása alatt elajándékoztak, majd eladtak egy jelenleg 300-400 millió forintot érő telket Budapest XII. kerületében – mindezt úgy, hogy a tulajdonos erről semmit sem tudott. Azóta egy konténer is megjelent a területen, a csalás áldozata pedig nem tehetne semmit egy esetleges építkezés ellen sem, mert jogilag már nem az övé a telek. A HVG információi szerint egyre több a hasonló ügy.