2020 és a GDPR : 100 milliós új bírságrekord
Csak bízhatunk benne, hogy a hazai vállalkozások adatkezelési tudatosságának javulása az oka, ám tény, hogy a Nemzeti Adatvédelmi Hatóság (NAIH) honlapján szereplő – többnyire elmarasztaló – határozatok/végzések száma a tavalyi első féléves 24-hez képest 2020. június 30-áig csak 16-nál tartott. Igaz, az idei eddigi csúcsbüntetés több mint háromszorosa a tavalyi rekordnak.
Arról, hogy hány beadvány érkezik a hatósághoz, csak az év végén szokott összefoglaló adatokkal szolgálni a NAIH, így azt nem tudjuk, hogy a táblázatból kiolvasható harmadnyi csökkenést eleve kevesebb panasz, esetleg a bonyolultabb ügyek miatti alaposabb, így elhúzódóbb ügymenet számlájára írhatjuk-e. Az viszont a végzések böngészésekor egyértelműen kiderül, annyira sokféle esetből állt össze az idei első félévi termés is, hogy sablonokra túlzottan nem szorítkozhat a NAIH. Amely májusra annyira belelendült az igazságtételbe, hogy a Digi TV ügyében elég sokáig élőnek ígérkező rekordként 100 millió forintos bírságot szabott ki. A szokásosnál kissé hosszabb, de tanulságos cikkünkben négy konkrét példán, mondhatjuk, típushibán keresztül mutatjuk be, hogy mit nem kellett volna, illetve mit kellett volna másképp csinálniuk az érintetteknek, és hogy a figyelmetlenség mennyibe került. Összegezve egyébként a teljes első félévet, mindenestül 108,1 millióba, miközben hat esetben megalapozatlannak tartva vagy illetékesség hiányában elutasította a kérelmet a NAIH.
Az, hogy munkatársa nem szándékosan hibázott, nem mentesíti a céget a felelősség alól
Egy banki ügyintéző téves adatrögzítésével az ügyfélnek okozott kár miatt vizsgálódott tavasszal a NAIH. Az eset legfőbb tanulsága, hogy bár a hatóság is megállapította, hogy a bank részéről nem szándékosság áll a háttérben, az ügyintéző hibája nem kimentési ok, azaz a bankot a felelősség alól nem mentesíti. Súlyosbító körülményként értékelték, hogy az ügyfélnek egy újabb hitelügylet során tényleges anyagi kára is származott a bank hibájából, illetve, hogy annak eljárásrendje önmagában nem nyújt garanciákat egy hasonló ügyintézői tévedés kiküszöbölésére. Enyhítő körülményként írták jóvá ugyanakkor, hogy egyedi esetről volt szó, illetve maga a pénzintézet is önként anyagi kártérítést nyújtott a kérelmezőnek – végül így kerekedett ki az egymillió forintos bírság.
Csak azokat az adatokat tároljuk papíron is, amelyeket feltétlenül szükséges
Az érthetetlenül gyakori esetek közé sorolható az az ügy, amelyben a bejelentő állampolgár a saját kertjében a szél által odafújt papírszemetek között egy nagyjából száz nevet és hozzájuk kapcsolódó egyéb személyes adatot, többek között ügyfélkapus jelszavakat is tartalmazó iratot fedezett föl, amelyről kiderült, hogy egy könyvelő cég ügyféllistájáról származnak. Az adatkezelő a vizsgálat során végig segítő módon járt el, és bár azok körét, akik az irodában egyáltalán hozzáférhettek a kikerült dokumentumokhoz, jelentősen le tudták szűkíteni, a konkrét „tettes”, akinek a gondatlansága vagy szándékossága ide vezetett, végül bizonyíthatóan nem volt tisztázható.
A NAIH ebben az ügyben, miközben megállapította, hogy a könyvelő cég adat- és incidenskezelési szabályzatai, illetve gyakorlata nagyon is hiányos volt, illetve, hogy az adatokat indokolatlanul tárolta az elektronikus forma mellett papír alapon is, ami nagyban hozzájárult az incidens kialakulásához, a viszonylag kisebb összegű – 500 ezer forintos – bírsággal elsősorban azt méltányolta, hogy a cég még az eljárás idején igazolta, hogy az adatbiztonság növelése, illetve egész eljárásrendje GDPR-megfeleltetése érdekében különösen gyors és hathatós intézkedéseket tett.
Céges szerver kontra magánlevelezés: jobb előre tisztázni
A munkahelyeken, a munkáltató számítógépein, munkahelyi e-mail címeken folyó – egyedi szerződésekkel nyilván bárhol szabályozható, de a valóságban bizonyosan hétköznapinak tekinthető – magáncélú levelezés következményeit felgöngyölítő, egyes részterületei miatt bírósági ítélettel záruló ügyben vizsgálódott a nyár elejéig a NAIH.
Az eset lényege, hogy korábban az egyik egyetemen közalkalmazotti jogviszonyban álló kérelmező azt sérelmezte, hogy e jogviszonya megszűnése után volt munkáltatója azonnal megszüntette hozzáférési jogát a korábban általa használt céges levelezőrendszerhez, pedig az jelentős számú, részben kutatói tevékenységéhez kötődő magánlevelet is tartalmazott, így kérte utóbbiak kiadását. Az egyetem ezt arra hivatkozva tagadta meg, hogy a szerver olyan nagy mennyiségű levelet tartalmaz, amelyet nincs kapacitása hivatali és magánlevelekre szétválogatni. A hatóság megállapítása a hosszas okfejtés és jogszabályi helyek idézése végén az lett – mellesleg 200 ezer forintos büntetést érően –, hogy az egyetem jogszerűtlenül tagadta meg a kért adatok kiadását, megsértve ezzel a GDPR-rendelet átlátható tájékoztatásra és hozzáférési jogra vonatkozó alapelveit. Általános tanulságként pedig azt tehetjük hozzá, hogy a munkaviszony felbontásakor keletkező hasonló problémák elkerülésének legjobb módja, ha a felek már magában a munkaszerződésben előre részletesen szabályozzák a hivatali számítógépek és levelezőrendszerek magáncélú használatának feltélteleit – és persze azokat mindketten be is tartják.
Nagy cég, nagy hiba – nagy büntetés
És akkor nézzük meg, mit is kellett elkövetni az eddigi hazai rekordbüntetésért, azaz 100 millió forintért! A NAIH honlapján szereplő határozat szerint az ügyfél – a Digi Távközlési és Szolgáltató Kft. – tavaly szeptemberben szerzett tudomást és jelentett be rögtön adatvédelmi incidenst annak kapcsán, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért az érintettek személyes adataihoz, akik nagyobb részt az Ügyfél megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma. Sőt, a rendszergazdák felhasználói adatai is, az ily módon rendszergazdai jogosultsággal hozzáférhető további adatok pedig még szélesebb körű visszaélésre adtak volna lehetőséget. Érdekesség, hogy a „támadó” egyébként egy etikus hacker volt, aki nem visszaélési, hanem segítő szándékkal kutatja fel különféle webes felületek sérülékenységét, így ebben az esetben is maga jelezte a hibát a Diginek, annak technikai jellegével együtt, így a cég ezt viszonylag hamar ki tudta javítani.
A kiemelkedően nagy összegű, még leírni is fáj, 100 millió forintos bírságot a hatóság hosszas felsorolásban indokolta. Kiemelte, hogy az incidens egy olyan hibára vezethető vissza, amelyről, illetve annak ingyenes javítási lehetőségéről is a cégnek immár kilenc esztendeje tudomása volt (lehetett), ezt mégsem tette meg, amivel még saját érvényben lévő belső szabályzatainak sem tett eleget. Közrejátszott benne az ügy kapcsán érintett adatok nagy száma, az azok érzékenysége által jelentett kockázatok, továbbá az Ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A bírság összegének megállapítása során figyelembe vették, hogy a Digi a 2018-as üzleti évben több mint 47 milliárd, a 2019-esben pedig több mint 51 milliárd forintos nettó árbevételt ért el, így a kiszabott bírság összege a jogsértés súlyával és a cég nagyságával is arányban áll.
Szakszerű segítséggel könnyebb betartani az adatvédelmi szabályokat
A GDPR-megfelelés egyik kritériuma, hogy minden cégvezető és a társaság minden alkalmazottja – a saját munkaköréhez szükséges mértékben – ismerje meg a rendelet elvárásait és építse be azokat a saját folyamataiba. A feladat nem egyszerű, és az önálló felkészüléshez és folyamatos alkalmazáshoz a belső erőforrások legtöbbször még a nagyobb vállalatoknál sem állnak rendelkezésre. Ám a GDPR-ra is igaz, hogy a szakavatott külső segítség hatékony, elérhető és megtérülő megoldást jelent a szabálykövetéshez és a bírságok elkerüléséhez.