Hány adatvédelmi incidenst jelentettek be a Hatósághoz a GDPR kötelező alkalmazásának kezdő időszakában? Milyen jellegűek voltak a bejelentett incidensek? Kik és hányan voltak az érintettek? Milyen adatokat érintettek jellemzően a bejelentett incidensek? – Frivaldszky Gáspár, ügyvéd, információbiztonsági szakértő összefoglalója a Nemzeti Adatvédelmi és Információszabadság Hatóság közérdekű adatigénylésében adott tájékoztatása alapján.
A NAIH elnökének válaszából megtudtuk, hogy a Hatósághoz 2018. május 25. és július 25. között a különböző adatkezelők meglehetősen alacsony számban, mindösszesen 79 esetben jelentettek be adatvédelmi incidenst. Írországban ugyanezen idő alatt 1.184 bejelentés érkezett az adatvédelmi hatósághoz. A nagyságrendbéli különbség oka lehet, hogy Írországban a GDPR életbe lépése előtt is kötelező volt bejelenteni az adatvédelmi incidenseket, így az jobban beivódott a vállalatok tudatába. Másrészről sok nemzetközi vállalat székhelye Írország. Ezek a vállalatok kevésbé vállalják fel azt a kockázatot, hogy az adatvédelmi incidenseik esetleg napvilágot látnak, miközben azokat nem jelentették be az adatvédelmi hatósághoz.
A magyar adatvédelmi hatósághoz bejelentett adatvédelmi incidensek a bejelentés tartalmát tekintve az alábbi kategóriákba sorolhatóak:
a) Téves címre postán/telefonon/e-mailben elküldött személyes adatokat tartalmazó küldemény: összesen 45 incidensbejelentés,
b) Személyes adatok nagy nyilvánosság előtti jogellenes közzététele (pl. e-mail-es levelezőlistában az összes címzett látja a többiek címét is): összesen 11 incidensbejelentés,
c) Személyes adatok jogellenes megismerése illetéktelen hozzáféréssel (pl. hackertámadás, vírustámadás): összesen 12 incidensbejelentés,
d) Személyes adatokat tartalmazó adathordozó (pl. laptop, telefon) elveszítése: összesen 4 incidensbejelentés,
e) Személyiséglopás az érintett e-mail címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: összesen 3 incidensbejelentés,
f) Egyéb incidensbejelentések:
- Téves dokumentumküldés az ügyfélnek (sablon helyett jelentés): összesen 1 incidensbejelentés,
- Jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: összesen 1 incidensbejelentés,
- Az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: összesen 1 incidensbejelentés,
- Személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: összesen 1 incidensbejelentés.
A bejelentett adatvédelmi incidensekben az alábbi érintetti kategóriák és azok hozzávetőleges száma került bejelentésre a Hatóság felé:
- Adatkezelő ügyfelei: 21.688 esetben voltak érintettek a beérkezett bejelentésekben.
- Adatkezelő által nyújtott szolgáltatás felhasználói: 19.137 esetben voltak érintettek a beérkezett bejelentésekben. A Hatóság jelenleg is vizsgál egy körülbelül 92,3 millió adatot érintő nemzetközi incidenst, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.
- Adatkezelő alkalmazottjai/munkavállalói: 879 esetben voltak érintettek a beérkezett bejelentésekben.
- Még nem ismert kategóriába sorolható érintettek: 8 esetben voltak érintettek a beérkezett bejelentésekben.
Az adatvédelmi hatósághoz bejelentett adatvédelmi incidensekben az érintett személyes adatok az alábbi kategóriákba sorolhatóak:
- Személyazonossághoz kapcsolódó adatok: 16.376 alkalommal voltak érintettek az eddig bejelentett incidensekben.
- Gazdasági, pénzügyi adatok: 531 alkalommal voltak érintettek.
- Egyéb azonosító adatok: 185 alkalommal voltak érintettek az eddig bejelentett incidensekben.
- Elérhetőségi adatok: 17.503 alkalommal voltak érintettek.
- Különleges (genetikai) adatok: 92,3 millió alkalommal voltak érintettek az eddig bejelentett incidensekben. Ez a viszonylag magas szám egy nemzetközi incidensbejelentéshez kapcsolódik, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.
A fentieket összegezve elmondhatjuk, hogy az átlagosan napi egy bejelentett adatvédelmi incidens nyilvánvalóan nem tükrözi a ténylegesen bekövetkezett adatvédelmi incidensek számát. Életszerűtlen az, hogy a közel 2 millió hazai vállalkozás működése során alig több mint napi egy alkalommal történik olyan adatvédelmi incidens, amely valószínűsíthetően kockázattal jár a természetes személyek jogaira.
A vállalkozások valószínűleg még nincsenek tisztában azzal, hogy egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensnek minősülhet. Amennyiben a Hatóság nem az adatkezelésért felelőstől értesül az adatvédelmi incidensről, az adatkezelő lényegesen szigorúbb elbírálásra számíthat a kiszabandó bírságok tekintetében. Az ügyfelek, a munkavállalók és a cégvezetők adatvédelmi tudatosságának növekedésével a bejelentett incidensek számának rohamos növekedésével számolhatunk.
dr. Frivaldszky Gáspár, ügyvéd, információbiztonsági vezető auditor, az International Association of Privacy Professionals minősített (CIPP/E, CIPM) tagja