GDPR: eddig 79 adatvédelmi incidens

2018. augusztus 06. hétfő - 11:04 / piacesprofit.hu
  •    

A május végén hatályba lépett uniós adatvédelmi szabályozás első két hónapjában átlagosan naponta egy adatvédelmi incidenst jelentettek be a vállalkozások. Ez az incidensek valós számának valószínűleg csak a töredéke.

A Nemzeti Adatvédelmi és Információszabadság Hatóságtól közérdekű adatigénylésében tájékoztatást kértünk arra vonatkozóan, hogy a GDPR kötelező alkalmazásának első két hónapjában hány adatvédelmi incidenst jelentettek be a Hatósághoz. Arra is kíváncsiak voltunk, hogy az adatvédelmi incidensek jellege jellemzően mi volt, melyek voltak az érintettek kategóriái és hozzávetőleges száma, valamint melyek voltak jellemzően az incidenssel érintett adatok kategóriái és hozzávetőleges száma az ügyekben – írta dr. Fridvalszky Gáspár ügyvéd, az ABT Adatbiztonsági Tanácsadó Kft. partnere legfrissebb blogbejegyzésében.

A NAIH elnökének válaszából kiderült, hogy a Hatósághoz 2018. május 25. és július 25. között a különböző adatkezelők meglehetősen alacsony számban, mindösszesen 79 esetben jelentettek be adatvédelmi incidenst. Írországban ugyanezen idő alatt 1.184 bejelentés érkezett az adatvédelmi hatósághoz. A nagyságrendbeli különbség oka lehet, hogy Írországban a GDPR életbe lépése előtt is kötelező volt bejelenteni az adatvédelmi incidenseket, így az jobban beivódott a vállalatok tudatába. Másrészről sok nemzetközi vállalat székhelye Írország. Ezek a vállalatok kevésbé vállalják fel azt a kockázatot, hogy az adatvédelmi incidenseik esetleg napvilágot látnak, miközben azokat nem jelentették be az adatvédelmi hatósághoz.

A GDPR-al kapcsolatos leggyakoribb kérdésekre adott válaszainkat itt olvashatja!

A magyar adatvédelmi hatósághoz bejelentett adatvédelmi incidensek a bejelentés tartalmát tekintve az alábbi kategóriákba sorolhatóak:

  • Téves címre postán/telefonon/e-mailben elküldött személyes adatokat tartalmazó küldemény: összesen 45 incidensbejelentés,
  • személyes adatok nagy nyilvánosság előtti jogellenes közzététele (pl. e-mail-es levelezőlistában az összes címzett látja a többiek címét is): összesen 11 incidensbejelentés,
  • személyes adatok jogellenes megismerése illetéktelen hozzáféréssel (pl. hackertámadás, vírustámadás): összesen 12 incidensbejelentés,
  • személyes adatokat tartalmazó adathordozó (pl. laptop, telefon) elveszítése: összesen 4 incidensbejelentés,
  • személyiséglopás az érintett e-mail címe feletti rendelkezés átvételével és nevében illetéktelen üzenetküldéssel: összesen 3 incidensbejelentés.
GDPR szótár: 15 fontos alapfogalom, amit jó, ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.

Egyéb incidensbejelentések:

  • Téves dokumentumküldés az ügyfélnek (sablon helyett jelentés): összesen 1 incidensbejelentés,
  • jogosulatlan fényképfelvétel készítés harmadik személy által különböző nem biztonságosan tárolt, ügyféladatokat tartalmazó dokumentumokról: összesen 1 incidensbejelentés,
  • az adatkezelő nem biztosította a leiratkozás lehetőségét az általa kiküldött hírlevélről: összesen 1 incidensbejelentés,
  • személyes adatok feletti rendelkezés elveszítése az adatok zsarolóvírus általi titkosításával: összesen 1 incidensbejelentés.

A bejelentett adatvédelmi incidensekben az alábbi érintett kategóriák és azok hozzávetőleges száma került bejelentésre a Hatóság felé:

Adatkezelő ügyfelei: 21.688 esetben voltak érintettek a beérkezett bejelentésekben.

Adatkezelő által nyújtott szolgáltatás felhasználói: 19.137 esetben voltak érintettek a beérkezett bejelentésekben. A Hatóság jelenleg is vizsgál egy körülbelül 92,3 millió adatot érintő nemzetközi incidenst, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.

Adatkezelő alkalmazottjai/munkavállalói: 879 esetben voltak érintettek a beérkezett bejelentésekben.

Még nem ismert kategóriába sorolható érintettek: 8 esetben voltak érintettek a beérkezett bejelentésekben.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb-utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Az adatvédelmi hatósághoz bejelentett adatvédelmi incidensekben az érintett személyes adatok az alábbi kategóriákba sorolhatóak:

Személyazonossághoz kapcsolódó adatok: 16.376 alkalommal voltak érintettek az eddig bejelentett incidensekben.

Gazdasági, pénzügyi adatok: 531 alkalommal voltak érintettek.

Egyéb azonosító adatok: 185 alkalommal voltak érintettek az eddig bejelentett incidensekben.

Elérhetőségi adatok: 17.503 alkalommal voltak érintettek.

Különleges (genetikai) adatok: 92,3 millió alkalommal voltak érintettek az eddig bejelentett incidensekben. Ez a viszonylag magas szám egy nemzetközi incidensbejelentéshez kapcsolódik, amelyben egyelőre nem állnak rendelkezésre pontos adatok azzal kapcsolatban, hogy összesen hány magyar felhasználó személyes adata érintett.

A fentieket összegezve elmondhatjuk, hogy az átlagosan napi egy bejelentett adatvédelmi incidens nyilvánvalóan nem tükrözi a ténylegesen bekövetkezett adatvédelmi incidensek számát. Életszerűtlen az, hogy a több százezer hazai vállalkozás működése során alig több mint napi egy alkalommal történik olyan adatvédelmi incidens, amely valószínűsíthetően kockázattal jár a természetes személyek jogaira.

A vállalkozások valószínűleg még nincsenek tisztában azzal, hogy egy rossz helyre küldött e-mail, egy zsarolóvírus támadás, egy véletlenszerű adattörlés mind-mind adatvédelmi incidensnek minősülhet. Amennyiben a Hatóság nem az adatkezelésért felelőstől értesül az adatvédelmi incidensről, az adatkezelő lényegesen szigorúbb elbírálásra számíthat a kiszabandó bírságok tekintetében. Az ügyfelek, a munkavállalók és a cégvezetők adatvédelmi tudatosságának növekedésével a bejelentett incidensek számának rohamos növekedésével számolhatunk.

 

Bemutatjuk a Piac & Profit Online Akadémia kurzusvezetőit!
Új szolgáltatással jelentkezik a Piac & Profit a hazai kkv-döntéshozók üzleti tudásának gyarapítása érdekében. Piac & Profit Online Akadémiát indítottunk a Piac & Profit Konferenciák legsikeresebb, legjobb előadói kurzusvezetői közreműködésével. Az online képzések egyre népszerűbbek, sokak számára elérhetőbbek. A konferenciákon felhalmozott tudásokat ajánljuk a kkv-döntéshozóknak és az adott szakma jövőjét előre megismerni akaróknak.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor