Adataink biztonsága a 21. században kiemelt jelentőséggel bír. Mivel egyre több vállalkozás, szervezet és intézmény áll át a digitális felületek használatára, az információk tárolása és felhasználása elkerülhetetlen, ez viszont komoly felelősséggel is jár. Éppen ezért fogadták el 2018. májusában azt az egységes európai adatvédelmi rendeletet, rövidebb nevén GDPR-t, amely szabályozza az ügyféladatok kezelését. Az adatok biztonsága ellenben nem garantálható 100 százalékosan. Az adatvédelem több okból kifolyólag is sérülhet, ezt a jelenséget nevezik adatvédelmi incidensnek. Cikkünkből kiderül, pontosan mit foglal magába az adatvédelmi incidens fogalma, milyen típusai vannak, hogyan előzhető meg, és mit kell tenni akkor, ha már megtörtént a baj.
Adatvédelmi incidens fogalma
A GDPR meghatározása szerint az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.” A definíció szerint adatvédelmi incidensnek számít egy személyes adatokat tartalmazó laptop elvesztése, egy informatikai rendszer megtámadása, de akár egy rossz helyre küldött email is. Az adatvédelmi incidens azért is olyan veszélyes, mert ilyenkor sérülhet a titoktartási kötelezettség, a hozzáférhetőség vagy az integritás. Ráadásul ezek komoly fizikai, vagyoni és nem vagyoni károkat okozhatnak a természetes személyeknek. A pénzügyi veszteség mellett személyazonosság-lopással vagy a jó hírnév sérelmének lehetőségével is számolni kell. Az adatoknak viszont nem kell feltétlenül napvilágra kerülniük, és az érintettnek sem kell bármilyen kára származzon az incidensből. Az adatvédelmi incidens már abban a pillanatban megvalósult, amikor az adat véletlenül vagy jogellenesen megsemmisült, elveszett, megváltozott, vagy amikor ahhoz valaki jogosulatlanul hozzáfért.
Adatvédelmi incidens típusai
Az adatvédelmi incidensnek több típusa is lehet:
- adatmegsemmisülés: ez akkor fordulhat elő, amikor egy vírus tönkreteszi a merevlemezünket;
- adatelvesztés: amikor elhagyjuk a laptopunkat, vagy ellopják a munkahelyi személyi számítógépünket az ügyfelek adataival együtt;
- adatmegváltoztatás: amikor valamelyik munkatársunk felülírja a jó adatokat a rosszakkal;
- az adatok jogosulatlanul közlése: ez azt jelenti, hogy valaki engedély nélkül publikál érzékeny információkat valamilyen személlyel vagy vállalkozással kapcsolatosan;
- az adatokhoz való jogosulatlan hozzáférés: amikor valaki megtalálja a jelszavunkat, és visszaél annak a használatával.
Mi a teendő az incidens előfordulása esetén?
Adatvédelmi incidens esetén az adatkezelőnek (szervezetnek, vállalkozásnak) be kell jelentenie a történteket az illetékes felügyeleti hatóságnál legkésőbb 72 órával a tudomásszerzést követően. Amennyiben az incidens feltehetően kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek kötelessége erről tájékoztatni az érintetteket is. Ha szeretne többet megtudni a jogszerű eljárásról, vegye fel ügyvédi irodánkkal a kapcsolatot!
Hogyan előzhetjük meg az adatvédelmi incidenst?
Magánszemélyként és szervezetként egyaránt fontos a személyes adatok megfelelő védelme. Vállalatok esetében ajánlott a technikai és szervezési intézkedések végrehajtása, míg magánszemélyként legfőképp arra kell figyelnünk, hogy minden felületen erős belépési jelszóval rendelkezzünk. Ezt nem javasolt sehova sem leírni, mert bárki megtalálhatja, és így visszaélhet vele. Adataink biztonsága érdekében frissítsük a vírusírtónkat, és tegyük el biztonságos helyre az iratainkat, lehetőleg zárható szekrénybe. Továbbá kerüljük a kalózszoftvereket, és vigyázzunk a laptopunkra is, ne hagyjuk ezt őrizetlen helyeken. Ha felkeltettük érdeklődését a cikkel, akkor olvassa el az adatkezelés jogalapjáról szóló bejegyzésünket is!