A cégek által saját szervereiken és az egyre népszerűbb felhőben tárolt személyes adatok biztonsága a megnövekedett hackertámadások következtében egyre fontosabb kérdéssé válik. A megelőzést szolgáló biztonsági eszközök és intézkedések mellett az egyik legfontosabb probléma a már bekövetkezett, személyes adatokat érintő sérelmek utógondozása, az érintettek kártalanítása.
Az adatlopások kezelésére és a felelősök meghatározására a magyar jog is igyekszik megoldást találni, ennek egyik eredménye az infotörvény (vagyis az információs önrendelkezési jogról és az információszabadságról szóló törvény) adatvédelmi incidensekre vonatkozó módosítása. Ez bevezet némi szabályozást, azonban sokkal több iránymutatást az eddigiekhez képest nem nyújt.
A parlament döntése nyomán október 1-jétől több, adatvédelemmel kapcsolatos módosítás lépett életbe az infotörvényben, s ezek jelentős változásokat hozhatnak a magyarországi cégek számára is.
Jelenlegi formájában például a személyes adatok megsértésére – jogosulatlan hozzáférésre, továbbításra, megváltoztatásra, nyilvánosságra hozatalra stb. – vonatkozó „adatvédelmi incidens” fogalmának bevezetése és a hozzá kapcsolódó nyilvántartási kötelezettség nem biztos, hogy valódi garanciát jelent az érintetteknek, ugyanakkor akár rengeteg felesleges adminisztratív terhet is róhat az adatkezelőkre.
A módosítás ugyanis immár valamennyi adatkezelő számára kötelezővé teszi belső nyilvántartás vezetését az adatvédelmi incidensekről, illetve azok körülményeiről. Valamennyi személyes adatot kezelő cégre – gyakorlatilag tehát valamennyi vállalatra – kötelezők lesznek az új szabályok.
A módosítás a következőképpen definiálja a személyes adatok megsértésének – ahogy a jogszabály hívja: az „adatvédelmi incidens” – fogalmát: „személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés”. Ugyan a jogintézmény „személyes adatok megsértése” néven a hírközlési ágazatban már létezik, az infotörvény részletszabályokat nem tartalmaz, csupán az incidensek kötelező nyilvántartását írja elő az adatkezelőknek.
A legnagyobb változás arra vonatkozik, hogy valamennyi adatkezelőnek nyilvántartást kell vezetnie az összes incidensről. Ennek célja (ami szintén új elemként került be), hogy ezekről kérelemre az érintetteknek tájékoztatást adhasson az adatkezelő, valamint az, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ellenőrizhesse az adatkezelők adatvédelmi incidensekkel kapcsolatos tevékenységét, és a továbbiak megelőzése érdekében javaslatokat tehessen.
Ez azonban azt is jelenti, hogy az adatkezelőnek minden „apróbb”, tényleges veszéllyel nem fenyegető esetet nyilván kell tartania, ami jelentős adminisztratív terhet róhat rá. Minderről a belső nyilvántartásnak a következő adatokat kell tartalmaznia: az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az incidens időpontját, körülményeit, hatásait, illetve az elhárításra megtett intézkedéseket.
Bár a jogszabály még most sem ad iránymutatást a cégeknek, hogy a nyilvántartás vezetésén túl mit is kell pontosan tenniük egy adatvédelmi incidens esetén, a NAIH ettől függetlenül szigorú elvárásokat támaszt. Elvárja, hogy minden adatkezelő a leghatékonyabb adatbiztonsági technikát alkalmazza: az adatokat olyan módon és helyen tárolja, ahol az illetéktelen hozzáféréstől való védelem biztosított, és az elvárható technikai adatbiztonsági intézkedéseket is alkalmazza.
Egy konkrét ügyben a világhálóról elérhető helyen történő adattárolás és az így bekövetkezett adatlopás például súlyosan jogsértőnek bizonyult, és tetemes bírsággal járt. A hatóság hangsúlyozta azt a nemzetközi gyakorlatban is számon kért elvárást, amely szerint az ügyek elbírálása során tekintettel kell lenni az érintettek elvárásaira és várakozásaira személyes adataik, magánszférájuk védelmével kapcsolatban. Ha már az adatvédelmi incidens bekövetkezett, akkor pedig mindent meg kell tenni a következmények enyhítése céljából.
Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.