Blog

A Nemzeti Adatvédelmi és Információszabadság Hatóságtól közérdekű adatigénylésében tájékoztatást kértünk arra vonatkozóan, hogy a GDPR kötelező alkalmazásának első két hónapjában hány adatvédelmi incidenst jelentettek be a Hatósághoz. Arra is kíváncsiak voltunk, hogy az adatvédelmi incidensek jellege jellemzően mi volt, melyek voltak az érintettek kategóriái és hozzávetőleges száma, valamint melyek voltak jellemzően az incidenssel érintett adatok kategóriái és hozzávetőleges száma az ügyekben.

A NAIH elnökének válaszából megtudtuk, hogy a Hatósághoz 2018. május 25. és július 25. között a különböző adatkezelők meglehetősen alacsony számban, mindösszesen 79 esetben jelentettek be adatvédelmi incidenst. Írországban ugyanezen idő alatt 1.184 bejelentés érkezett az adatvédelmi hatósághoz. A nagyságrendbeli különbség oka lehet, hogy Írországban a GDPR életbe lépése előtt is kötelező volt bejelenteni az adatvédelmi incidenseket, így az jobban beivódott a vállalatok tudatába. Másrészről sok nemzetközi vállalat székhelye Írország. Ezek a vállalatok kevésbé vállalják fel azt a kockázatot, hogy az adatvédelmi incidenseik esetleg napvilágot látnak, miközben azokat nem jelentették be az adatvédelmi hatósághoz.

A magyar adatvédelmi hatósághoz bejelentett adatvédelmi incidensek a bejelentés tartalmát tekintve az alábbi kategóriákba sorolhatóak:

1. Téves címre postán/telefonon/e-mailben elküldött személyes adatokat tartalmazó küldemény: összesen 45 incidensbejelentés,
2. Személyes adatok nagy nyilvánosság előtti jogellenes közzététele (pl. e-mail-es levelezőlistában az összes címzett látja a többiek címét is): összesen 11 incidensbejelentés,
3. Személyes adatok jogellenes megismerése illetéktelen hozzáféréssel (pl. hackertámadás, vírustámadás): összesen 12 incidensbejelentés,
4. Személyes adatokat tartalmazó adathordozó (pl. laptop, telefon) elveszítése: összesen 4 incidensbejelentés,
5. Személyiséglopás az érintett e-mail címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: összesen 3 incidensbejelentés,
6. Egyéb incidensbejelentések:

• Téves dokumentumküldés az ügyfélnek (sablon helyett jelentés): összesen 1 incidensbejelentés,

• Jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: összesen 1 incidensbejelentés,
• Az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: összesen 1 incidensbejelentés,
• Személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: összesen 1 incidensbejelentés.

A bejelentett adatvédelmi incidensekben az alábbi érintett kategóriák és azok hozzávetőleges száma került bejelentésre a Hatóság felé:

1. Adatkezelő ügyfelei: 21.688 esetben voltak érintettek a beérkezett bejelentésekben.
2. Adatkezelő által nyújtott szolgáltatás felhasználói: 19.137 esetben voltak érintettek a beérkezett bejelentésekben. A Hatóság jelenleg is vizsgál egy körülbelül 92,3 millió adatot érintő nemzetközi incidenst, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.
3. Adatkezelő alkalmazottjai/munkavállalói: 879 esetben voltak érintettek a beérkezett bejelentésekben.
4. Még nem ismert kategóriába sorolható érintettek: 8 esetben voltak érintettek a beérkezett bejelentésekben.

Az adatvédelmi hatósághoz bejelentett adatvédelmi incidensekben az érintett személyes adatok az alábbi kategóriákba sorolhatóak:

1. Személyazonossághoz kapcsolódó adatok: 16.376 alkalommal voltak érintettek az eddig bejelentett incidensekben.
2. Gazdasági, pénzügyi adatok: 531 alkalommal voltak érintettek.
3. Egyéb azonosító adatok: 185 alkalommal voltak érintettek az eddig bejelentett incidensekben.
4. Elérhetőségi adatok: 17.503 alkalommal voltak érintettek.
5. Különleges (genetikai) adatok: 92,3 millió alkalommal voltak érintettek az eddig bejelentett incidensekben. Ez a viszonylag magas szám egy nemzetközi incidensbejelentéshez kapcsolódik, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.

A fentieket összegezve elmondhatjuk, hogy az átlagosan napi egy bejelentett adatvédelmi incidens nyilvánvalóan nem tükrözi a ténylegesen bekövetkezett adatvédelmi incidensek számát. Életszerűtlen az, hogy a közel 2 millió hazai vállalkozás működése során alig több mint napi egy alkalommal történik olyan adatvédelmi incidens, amely valószínűsíthetően kockázattal jár a természetes személyek jogaira.

A vállalkozások valószínűleg még nincsenek tisztában azzal, hogy egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensnek minősülhet. Amennyiben a Hatóság nem az adatkezelésért felelőstől értesül az adatvédelmi incidensről, az adatkezelő lényegesen szigorúbb elbírálásra számíthat a kiszabandó bírságok tekintetében. Az ügyfelek, a munkavállalók és a cégvezetők adatvédelmi tudatosságának növekedésével a bejelentett incidensek számának rohamos növekedésével számolhatunk.

dr. Frivaldszky Gáspár
ügyvéd, információbiztonsági vezető auditor, az ABT Adatbiztonsági Tanácsadó Kft. partnere, az International Association of Privacy Professionals minősített (CIPP/E, CIPM) tagja