A bűnüldözési, honvédelmi, nemzetbiztonsági célú adatkezelések kapcsán bekövetkező (Infotv. hatálya alá tartozó) adatvédelmi incidensek

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 3. § 26. pontja szerint adatvédelmi incidens az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az Infotv. hatálya alá tartozó adatkezelések körében bekövetkezett adatvédelmi incidensek kezelését az Infotv. 25/J. § és 25/K. § szabályozza.

Az adatvédelmi incidenst az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni a Hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az adatkezelő bejelentési kötelezettségét akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően kell haladéktalanul megtennie, melyhez mellékelni szükséges a késedelem okait feltáró nyilatkozatát is.

Amennyiben az incidens az adatfeldolgozó tevékenységi körén belül valósul meg, az adatfeldolgozó azt az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

Ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni. Az ilyen jellegű bejelentések az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.

A Hatóság a bejelentés vizsgálata során kiemelt figyelmet fordít arra, hogy az tartalmazza-e az Infotv. 25/J. § (5) bekezdésében foglaltakat:

a) az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,

b) az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevét és elérhetőségi adatait,

c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és

d) az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedéseket.

Ha az adatvédelmi incidens során olyan adat érintett, amelyet valamely más EGT-állam adatkezelője továbbított az adatkezelő részére, vagy amelyet az adatkezelő más EGT-állam adatkezelője részére továbbított, az Infotv. 25/J. § (5) bekezdésében meghatározott információkat az adatkezelő ezen EGT-állam adatkezelőjével haladéktalanul közli.

Nemzetbiztonsági célú adatkezelés esetén, ha a bejelentési kötelezettség, valamint a fent említett más EGT-állam adatkezelője irányába fennálló közlési kötelezettség teljesítése nemzetbiztonsági érdekbe ütközne, azt e nemzetbiztonsági érdek megszűnését követően kell teljesíteni.

Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat (magas kockázatú adatvédelmi incidens), a nemzetbiztonsági célú adatkezelés kivételével az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja. Ezen kötelezettség alóli mentesülés eseteit az Infotv. 25/K. § (2) bekezdése rögzíti.

Az incidensekkel kapcsolatos kötelezettségek adatkezelő általi teljesítésének vizsgálatát a Hatóság az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) által szabályozott hatósági ellenőrzés keretében végzi. Amennyiben a Hatóság a hatósági ellenőrzés során az Infotv.-ben foglalt kötelezettségek betartásával kapcsolatban jogsértést tár fel, hatósági eljárást indít; ellenkező esetben a hatósági ellenőrzést lezárja.

Az alábbiakban felsorolásra kerülnek a gyakorlatban tipikusan előforduló incidenstípusok, a Hatóság által az adatkezelőtől jellemzően elvárt kockázatcsökkentő intézkedésekkel együtt.

a) A bejelentések legjelentősebb részét a téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek adták. Az adatkezelőnek ilyenkor mindent meg kell tennie, hogy a téves címzett a birtokába jutott, személyes adatokat tartalmazó dokumentumot, üzenetet megsemmisítse/törölje. Postai küldemény esetén az adatkezelő válaszborítékkal együtt küldött újabb levélben is kérheti a téves címzettet a nem neki szóló küldemény visszaküldésére. Gondoskodnia kell továbbá az adatkezelőnek arról, hogy a tényleges címzett is megkapja az üzenetet, valamint, amennyiben például az érintett személyes adatok jellege alapján az incidens kockázatát valószínűsíthetően magasnak értékeli, tájékoztatnia kell az incidensről az érintettet. Az ilyen tájékoztatás másolatát is célszerű megküldeni a Hatóságnak. Hasonló magatartás várható el az adatkezelőtől akkor is, ha a címzettnek az egyébként neki szóló üzenettel együtt téves, személyes adatokat tartalmazó csatolmány is kiküldésre került, akár postán, akár elektronikus üzenetben.

b) E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit. Ilyenkor az incidens által a személyes adatokra jelentett kockázat csökkentése érdekében mindenképpen elvárható az adatkezelőtől, hogy a címzettekkel ismét felvéve a kapcsolatot, őket felkérje az üzenet törlésére.

c) Az adatkezelőt ért hackertámadás következtében kiszivárgott adatok. Ilyen esetben fontos az incidens által érintett adatok mihamarabbi azonosítása, az informatikai biztonsági rendszerek felülvizsgálata. Abban az esetben, ha az adatkezelőnek szakértelem hiányában nem sikerül azonosítani a támadás folyamatát, illetve részletesen feltárni az incidenshez vezető körülményeket, érdemes külső szakértőt felkérni. Amennyiben a támadás emberi tényező kihasználásával történt (pl. phising), az elhárítás folyamatából kihagyhatatlan a munkavállalók oktatása. Abban az esetben, ha informatikai hibából adódott a sérülékenység, a teljes rendszer felülvizsgálata lehet indokolt. Minden esetben elvárható az adatkezelő információbiztonsági szabályzatának felülvizsgálata.

d) Ellopott/elvesztett számítástechnikai eszközök, telefonok. Ilyen esetekben kiemelt szereppel bír az is, hogy az adatkezelő az incidenst megelőzően megfelelő figyelmet biztosított-e eszközei védelmének (jelszó, titkosítás), mellyel megakadályozható, hogy az adott eszközön tárolt adatokat illetéktelen személyek megismerhessék. Távoli hozzáférés lehetősége esetén utólag is elképzelhető az adatok eszközről való törlése. Fontos, hogy az incidensről való tudomásszerzést követően az adatkezelő azonnal azonosítsa, hogy az adott kliens milyen adatokhoz, szerverekhez fért hozzá, és milyen jogosultság került kiosztásra számára, azok pedig azonnal kerüljenek megvonásra, az érintett szervereket, szolgáltatásokat vonják vissza, illetve változtassák meg azok hozzáféréseit.

Általánosságban elmondható, hogy egy adatvédelmi incidens után, a feltárt hiányosságokat kiértékelve, az adatkezelő részéről indokolt lehet a belső folyamatok felülvizsgálata, további szűrők, ellenőrzések beiktatása a munkafolyamatba, illetve a munkatársak adatvédelmi tudatosságának növelése.