Önfeljelentési kötelezettség - Incidenskezelés

2018. április 25.

Az Általános Európai Adatvédelmi Rendelet (GDPR) egyik újdonsága az, hogy az adatkezelőknek minden őket ért informatikai incidenst be kell jelenteniük az adatvédelmi hatósághoz az észleléstől számított, mindössze 72 órán belül. Az incidensek miatt, még bejelentés esetén is szabható ki bírság, a be nem jelentett incidensek esetében azonban jóval magasabb bírságtól lehet tartani.

Bevezetés

A GDPR a korábbi európai adatvédelmi szabályozás helyébe lép. A személyes adat fogalma terén a bírósági gyakorlatot átvéve, bővül a személyes adat fogalma, azonban továbbra is megmarad az a koncepció, hogy minden információt hordozó adat lehet személyes adat, így például egy e-mail cím (akkor is, ha nem tudjuk kié), egy IP cím (akkor is ha dinamikus), a böngészési eredmények, a viselkedés (akkor is ha azt nem tudjuk kihez kötni), a kamerafelvétel… Egyszóval tehát bármi, amiből bárki más eszköz használatával lehetőséget kaphat arra, hogy azonosítsa a személyt (jogi kifejezéssel érintettet).

Az a személy, aki az adatokhoz hozzájut, gyűjti, tárolja, másolja, továbbítja, őrzi, megváltoztatja, törli: az adatkezelő. Akkor is, ha magánszemély, egyéni vállalkozó Bt. vagy akár egy nagyvállalat.

Az a személy, aki segíti az adatkezelő munkáját, de nincs joga változtatni törölni önállóan, az adatfeldolgozó, tipikusan ilyenek az informatikusok, rendszergazdák, tesztelők, web hosting-szolgáltatók, de akár a bérszámfejtők, könyvelők is.

A GDPR mind az adatkezelők, mind az adatfeldolgozók számára kötelezővé teszi, hogy megfelelő technikai és szervezési intézkedéseket alkalmazzanak az adatbiztonság érdekében.

Adatbiztonsági követelmények

A GDPR nagy hangsúlyt fektet az adatok biztonságára és az erre vonatkozó követelményrendszer felállítására. Nem titkoltan a hacker támadások, adatvesztések, zsaroló vírusok hatásainak kiküszöbölése érdekében is született. Abban az esetben, ha valakit kibertámadás ér, nemcsak maga a támadó, hanem az adatkezelő (esetleg az adatfeldolgozó) is felelősségre vonható. Az elsőre talán érthetetlennek tűnő szabály logikája, hogy a GDPR elvárja, mindenki maga feleljen a biztonságáért. Más területeken azonban ez eddig sem volt idegen, hiszen ha valaki például benne hagyja a kulcsot az autójában, a biztosító nem fizet az eltulajdonítás esetén. Ugyanez történik most az adatvédelemben is: ha valaki nem alkalmaz vírusírtokat, nem teszi meg a szükséges adatvédelmi intézkedéseket, komoly bírsággal néz szembe.

Az informatikusok jól ismerik a „CIA” háromszöget, ez az amit a legkisebb vállalkozásoknak is teljesíteni kell: vagyis adminisztratív, fizikai és logikai intézkedésekkel kell védeniük a rendszerüket: legyen beállított biztonság mentés, (vagy akár két redundáns szerver), legyenek felkészültek a támadásra és azonnal tudjanak cselekedni. Az azonnali cselekvés azt jelenti, hogy rendelkezzen a cég incidens kezelési renddel, és a bekövetkezett incidensek kezelésére vonatkozó szabályozási tervvel. Az informatikai felkészülés része az is, hogy az adatkezelők képezzék a munkavállalóikat. Ilyen lehet az alapvető adatbiztonsági ismereteknek az oktatása, például arra, hogy ismeretlen levelet ne nyissanak meg a munkavállalók, ismeretlen szoftvert ne töltsenek le, csak céges pendrive-ot használjanak, ne használjanak megbízhatatlan open source dokumentumokat.

Incidenskezelési eljárás

Az incidens fogalma: a biztonság olyan sérülése, amely a személyes adatok sérülésével, megváltozásával, elvesztésével, vagy az azokhoz való jogosulatlan hozzáféréssel jár. Ha például egy munkavállaló elveszít egy adathordozót (amelyen adatok voltak), vagy egy e-mail téves címzetthez kerül, már megállapíthatjuk, hogy bekövetkezett egy incidens. Az észlelés időpontja ezekben az esetekben: amikor a vezető tudomást szerez az adathordozó elvesztéséről, illetőleg a téves címzettnek küldött levél esetében, amikor a címzett visszajelez.

Gyakran előfordul, hogy nem az adatkezelő, hanem az adatfeldolgozó észleli az incidenst. Fontos ilyenkor, hogy neki szerződéses kötelezettsége legyen rövid időn (például 8 órán belül) az adatkezelő megfelelő szakemberének jelenteni a problémát, ellenkező esetben előfordulhat, hogy az incidens nem jut az adatkezelő tudomására.

Az incidenst a bejelentés előtt az adatkezelőnek fel kell tárnia, és a feltárt információval együtt kell megtennie a bejelentését. Nem kell bejelenteni azokat az eseményeket, amelyek esetében az adatkezelő biztosan ki tudja jelenteni, hogy nem jár kockázattal az érintettek számára.

A GDPR előírásai szerint az incidens „észlelésétől” számított 72 órán belül az intézkedési javaslatokkal együtt kell értesítenie a vezetőnek a hatóságot és szükség esetén (ha más mód nincs) az érintetteket. A magyar hatósághoz a bejelentést formanyomtatványon kell majd megtenni, s a bejelentésben le kell írni az eset körülményeit és időpontját, az érintettek számát, a lehetséges jogsérelmeket, a megtett intézkedéseket. Megtett intézkedés lehet például a szerverek leállítása, jelszóváltoztatás, adminisztrátori jogosultságok szigorítása.

Amennyiben az incidens jelentős hatással lehet az érintettek jogaira és szabadságaira nézve, az érintetteket is tájékoztatni kell. A tájékoztatás történhet nyilvános felhívásokkal, de amennyiben az érintetteket az adatkezelő személy szerint azonosítani tudja, közvetlen üzenettel is.

A cikk szerzője:
Dr. Soós Andrea Klára

ügyvéd
andrea.soos@dataprotection.eu
a Magyar Könyvvizsgálói Kamara Oktatási Központ oktatója