Cikk:

KILÁTÁSBA HELYEZŐDTEK AZ ELSŐ ÓRIÁSBÜNTETÉSEK A GDPR ALAPJÁN

18 február 2019

A 2018-as évben azonban két olyan adatvédelmi incidensre is sor került, amely kilátásba helyezte az első, GDPR alapján meghatározott, megemelt összegű bírság kiszabását. A két esetből azonban minden vállalkozás le tudja vonni a tanulságot a nagyobb megfelelőség kialakításának érdekében: a lentebb részletezett informatikai incidensek ugyanis a megfelelő intézkedések meghozatala hiányában kialakulhatnak kisebb vállalkozásoknál is.

A Facebook számára ez az év adatvédelmi szempontból számos problémát jelentett: azt követően szivárgott ki 50 millió felhasználó személyes adata, hogy a vállalat 500 ezer fontos bírságot kapott a brit adatvédelmi hatóságtól a „cambridge analytica” botrány kapcsán. Azonban amíg a botrány tárgyát képező üggyel kapcsolatos bírság még a régi, brit adatvédelmi szabályozás hatálya alatt született meg, addig az új adatszivárgási incidens következtében a Facebookkal szemben az ír adatvédelmi hatóság már a GDPR hatálya alatt indított eljárást. Az érintettek számára, valamint a kiszivárgott adatok különlegességére való tekintettel (például az üzenetekben fellelhető politikai vélemények) jelentős bírságra lehet számítani.

Az év végefelé az egyik legnagyobb hotellánc, a Marriott jelentette meg közleményében, hogy egy adatbázis elleni támadást követően akár 500 millió ügyfél olyan személyes adata szivárgott ki, mint a név, lakcím, útlevélszám illetve bankszámla adatok. Az incidens súlyát növeli, hogy a Marriott késlekedett tájékoztatni az érintett személyeket. A GDPR 34. cikk (1) bekezdése szerint az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintetteket az adatvédelmi incidensről, ha az valószínűsíthetően magas kockázattal jár az érintettekre nézve. Fontos felhívni a figyelmet arra, hogy már a magas kockázatnak a puszta valószínűsítése esetében is fennáll az adatkezelő tájékoztatási kötelezettsége. A Marriott a közlemény szerint 2018. szeptember 8-án fedezte fel a biztonsági problémát, és november 19-re állapította meg az incidens tényleges súlyát. Az érintettek azonban csak november 30-án kaptak erről tájékoztatást. Ezen a ponton érdemes megemlíteni, hogy a közlemény szerint 2014 óta állt fent a jogosulatlan hozzáférés az adatbázishoz, ezt a tényt pedig minden bizonnyal a hatóság értékelni fogja a szállodaóriás kontójára.

Mindezekkel összefüggésben felhívjuk a figyelmet a megfelelő online adatbiztonság kialakításának fontosságára. Egy internetes tranzakció a webáruházak esetében, személyes adatok sokaságának kezelése álláskereső, vagy akár társkereső oldal üzemeltetőjeként hatalmas felelősséget jelent, ugyanis egy esetleges adatvédelmi incidens számos adat kiszivárgásához vezet, amely jelentős bírság kiszabásával járhat. Amennyiben azonban mégis hasonló adatvédelmi incidens történik, úgy mindenképpen szem előtt kell tartani a GDPR tájékoztatásra vonatkozó szabályait, mely szerint az adatkezelő késedelem nélkül, de az incidenstől számított legfeljebb 72 óra elteltével köteles tájékoztatni az adatvédelmi hatóságot, illetve az érintetteket az incidens tényéről.