Rövid elméleti bevezetőm szerint az adatvédelmi incidens fogalma a GDPR-ból a következő: „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

Az adatvédelmi incidensekhez kapcsolódó adatkezelői kötelezettségek a GDPR alapelvei közül az elszámoltathatóság elvéhez, valamint az integritás és bizalmas jelleg elvéhez kapcsolódnak. Az integritás és bizalmas jelleg elve értelmében a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). Az elszámoltathatóság elvének megfelelően az adatkezelő felelős a személyes adatok kezelésére vonatkozó alapelveknek történő megfelelésért, és képesnek kell lennie e megfelelés igazolására. Az elszámoltathatóság alapelvvé tételével komoly előrelátást és tudatosságot vár el a GDPR az adatkezelőktől az adatkezelési folyamatok megtervezésétől az adatkezelés befejezéséig annak érdekében, hogy az adatkezelő az adatkezelés minden pillanatában el tudjon számolni azzal, hogy adatkezelése megfelel a GDPR előírásainak.

Vajon hogyan jelenik meg ez az elméleti fogalom a gyakorlatban, hány incidens van egy évben és mi a teendő az incidenskezelés során?

Az adatkezelőnek nyilvántartást kell vezetnie minden incidensről (a „kicsikről” és a „nagyokról” is), benne olyan fontos részletkérdésekkel, hogy milyen hatása volt a szervezetre és másokra a biztonság sérülése, és milyen intézkedéseket tett meg az adatkezelő a kárelhárítás érdekében. Ha az incidens bizonyos kockázatot jelent természetes személyekre, úgy azt be kell jelenteni 72 órán belül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH). A bejelentésben ismertetni kell legalább az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Az incidensek nagyobb része véletlenszerű, egyszerű emberi hiba és gondatlanság: például személyes adatot (nevet) tartalmazó e-mail címekkel való körlevélküldés úgy, hogy a címzetteket nem titkos másolatban helyezzük el, hanem mindenki látja kéretlenül is, rá nem tartozó módon is az összes többi címzett e-mail címét (ha az e-mail cím általános jellegű, vagyis például info@ vagy ugyfelszolgalat@ vagy jegyzo@ kezdetű, úgy nem szükséges titkos másolatba tenni, hiszen ezek nem személyes adatok). A szándékolt és jogellenes incidensek zöme érdekes módon péntek délutánra esik, egyrészt a leegyszerűsítő módon most hackertámadásoknak titulált változatos eljárásoknak „jót tesz” a hét vége felé már elalvó emberi figyelem (kéretlen e-mailekben elhelyezett linkekre kattintás, mellyel aktiválódik a támadás), illetve a klasszikus munkarend, vagyis hogy a hétvégi szünet után hétfő reggel észlelik a támadások következményeit.

A bizonyos kockázattal járó, kötelező bejelentés alá eső incidensek NAIH-hoz történő bejelentéskéslekedése önmagában bírságfaktor: utalok itt a BRFK elhíresült adatvédelmi bírságára, amelyet alapvetően azért kaptak, mert késlekedtek a bejelentéssel, és nem azért, mert nem tettek meg mindent a hiba feltárására vagy a kárenyhítésre (egy dolgozók bérjegyzékeit tartalmazó pendrive tűnt el, majd került elő hetek múlva). A magas kockázatú incidensről magukat az érintetteket is tájékoztatni kell: egy bank, egy biztosító, egy digitális szolgáltató vagy egy hatóság, ahonnan ügyfelek ezreinek számlaszáma, jelszava vagy más személyes adata szivárgott ki, minimum a honlapján köteles az érintetteket (ügyfeleit) tájékoztatni.

A NAIH-hoz bejelentett incidensek száma a következőképpen alakult az elmúlt években:

Forrás: dr. Eszteri Dániel/NAIH

A bejelentők megoszlása és az incidens jellege pedig a következőképpen alakult:

Forrás: dr. Eszteri Dániel/NAIH

A sérülés jellege szerinti kategorizálás lényege

A bizalmasság sérülése azt jelenti, hogy olyan felek férnek hozzá az információhoz, akiknek nincs arra felhatalmazása. A sérülés mértéke az információhoz hozzáférő illetéktelen felek lehetséges számától és típusától függ. Az integritás sérülése akkor következik be, amikor az eredeti információt megváltoztatják vagy kicserélik, amely hátrányos lehet az egyénre nézve. A legsúlyosabb helyzet akkor következik be, amikor fennáll annak a lehetősége, hogy a módosított adatokat olyan módon használják fel, amely az egyént károsíthatja. A rendelkezésre állás sérül, amikor az eredeti adatokhoz nem lehet hozzáférni. Ez lehet ideiglenes (az adatok helyreállíthatók, de az eltart egy ideig, amely káros lehet az egyénre nézve), vagy maradandó (az adatok nem állíthatók helyre).

A leggyakoribb incidenstípusok – melyekkel kapcsolatban nem is gondolnánk rögtön a biztonság sérülésére – a következők:

• téves címre érkező postai küldemény,
• téves e-mail címre érkező levél,
• téves adatok feltöltése online felületekre (pl. más beteg adatainak, kezelésének rögzítése az EESZT rendszerben, más beteg adatainak lekérdezése az EESZT rendszerben),
• személyes adatokhoz való jogellenes hozzáférés,
• belső céges vagy hivatali nyilvántartásokhoz való hozzáférhetőség kívülről,
• számítógépek, háttértárak, adathordozók elvesztése.

Incidenskezelési, illetve kockázatkezelési munkánkat segítő dokumentumok

Az Európai Unió Hálózat- és Információbiztonsági Ügynöksége (ENISA) az incidensek súlyosságának megítéléséhez kívánt segítséget nyújtani, amikor 2011-ben ajánlást fogalmazott meg az annak során figyelembe veendő szempontokról és annak módszeréről. Ezt továbbfejlesztve 2013-ban közzétett egy módszertant, Recommendations for a methodology of the assessment of severity of personal data breaches címen.

Az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó, az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvvel létrehozott 29. cikk szerinti Adatvédelmi Munkacsoport 2017. október 3-án Iránymutatást fogadott el az adatvédelmi incidensek (EU) 2016/679 rendelet szerinti bejelentéséről, melyet 2018. február 6-án felülvizsgált és elfogadott, a Munkacsoport ezen Iránymutatásában részletesen kifejtette a kockázat vizsgálatakor értékelendő tényezőket.

Az Európai Adatvédelmi Testület (EDPB) a 2021. december 14-én elfogadott, a személyes adatok sérelmének (incidensek) bejelentésével kapcsolatos példákról szóló 01/2021. számú Iránymutatásával segítségül kíván szolgálni az adatkezelők számára, az iránymutatás gyakorlatorientáltan, esetek ismertetésével és elemzésével mutatja be az adatvédelmi incidensek megelőzése, hatásaik csökkentése és az azokhoz kapcsolódó kockázatok felmérése érdekében szükséges intézkedéseket, valamint a GDPR által megkövetelt technikai és szervezési intézkedések jó gyakorlatait.

A hivatkozott dokumentumok gyakorlati alkalmazása a NAIH-2894/2021. számú döntésében ismertetett jogesettel illusztrálható (mely döntés elérhető a NAIH oldalán). A kerületi hivatal Népegészségügyi Osztálya által leválogatás nélküli, betegadatokat tartalmazó Excel-táblázat továbbküldését az adatkezelő nem értékelte adatvédelmi incidensként, az adatvédelmi hatósági eljárás során ezen a véleményén már változtatott, de úgy ítélte meg, hogy az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira és szabadságaira nézve, tekintettel arra, hogy az adatokat csak a címzettek között szereplő háziorvosok kapták meg. Ezzel ellentétben a NAIH magas kockázatúnak értékelte az incidenst és megállapította a szükséges adatbiztonsági intézkedések hiányát, továbbá 10 millió forint adatvédelmi bírsággal sújtotta a Budapest Főváros Kormányhivatala XI. Kerületi Hivatalát.

A hivatkozott dokumentumok kapcsán felmerül, hogy vajon összeállítható-e konkrét, minden adatvédelmi incidens kezelésére, kockázatainak és hatásainak elemzésére alkalmas módszertan: az ENISA elvileg ezt a célt szolgálja, de gyakorlati szakemberek véleménye alapján számos eleme nehezen alkalmazható bizonyos incidensek esetén, éppen azon okból kifolyólag, hogy nem lehetséges minden esetet számba venni és számszerűsíteni. Megoldás lehet a három dokumentumban leírt módszerek mindegyikének alkalmazása a kockázatok és hatások súlyosságának felmérésekor, az incidens elhárítása érdekében tervezett intézkedések kidolgozásakor. Az ENISA módszertana alapján elvégzendő értékelést és számítást érdemes a legrosszabb forgatókönyv figyelembevételével az érintettek jogainak és szabadságainak lehető legmagasabb szintű védelmére törekedve végrehajtani. A számítást követően érdemes a 29-es Adatvédelmi Munkacsoport által meghatározott szempontokat is számba venni, és az Európai Adatvédelmi Testület Iránymutatásában bemutatott eseteket, intézkedéseket és jó gyakorlatokat áttekinteni.