Az adatvédelmi incidensek fajtái

Az adatvédelmi incidenseknek vannak ún. leggyakrabban előforduló esetei, amelyeket csoportokba lehet rendezni és ez alapján tipizálni őket.

Az Európai Adatvédelmi Testület is kiadott egy ezzel kapcsolatos iránymutatást [01/2021. számú iránymutatás]. 

Ez az iránymutatás egyfajta példatárként is funkcionál, meghatározza az egyes incidens típusokat és jogesetekkel is szemlélteti az egyes típusokon belül a különböző kockázati szintekkel rendelkező incidenseket.

Az iránymutatás az adatvédelmi incidenseket hat csoportba sorolja:

1. Zsarolóvírus támadások.
   
2. Adatkiszivárgásos támadások (az interneten nyújtott szolgáltatások - weboldalon keresztül - sebezhetőségét kihasználó támadások).
3. Ember okozta belső kockázati forrás (emberi hiba okozta incidensek, például üzleti adatok munkavállaló általi kiszivárogtatása, adatok harmadik fél részére történő véletlen továbbítása).
4. Elveszett, ellopott eszközök és papíralapú dokumentumok (táblagép, telefon, USB eszköz, papír alapú akta stb.).
5. Téves postázás (postai levelezésben elkövetett hiba, tévedésből levélben elküldött személyes adatok stb.).
6. Egyéb esetek – Pszichológiai manipuláció (pl. személyazonosság-lopás, e-mail kiszivárogtatása).

A mindennapok során valószínűleg a 3., 4. és 5. csoportba tartozó esetek fordulnak elő a leggyakrabban, de a zsarolóvírus támadások se mentek ki a divatból, viszont az IT szektor már felkészült ezeknek a kezelésére.

Ugyanakkor nem szabad elfelejteni, hogy ezek csak a leggyakrabban előforduló esetek, az adatkezelőnek/adatfeldolgozónak (ideértve a szervezeten belül valamennyi munkavállalót is) képesnek kell lennie felismerni az ettől eltérő eseteket is.

• Adatvédelmi incidenst okozhat egy váratlan áramszünet is, ha annak következtében például adatvesztés történik.
• Szintén adatvédelmi incidens lehet például, ha az ügyfélszolgálaton ügyet intéző ügyfél az iratok hanyag kezelése miatt olyan információkba is belelát, amire egyébként semmilyen felhatalmazással nem rendelkezik.
• Munkahelyen ilyen eset lehet, ha az egyik munkavállaló megismeri a munkatársa betegségére vonatkozó körülményeket, munkaszerződése vagy táppénzes papírja tartalmát úgy, hogy arra nem volt jogosultsága

A cél az lenne persze az adatkezelők/adatfeldolgozók számára, hogy megelőzzék az adatvédelmi incidenseket, ehhez azonban megfelelő belső eljárásrendekre, informatikai biztonságra és a munkavállalók folyamatos képzésére van szükség.

100%-os védelem nincs, mindenre nem lehet előre felkészülni. Különösen így van ez az emberi hiba okozta adatvédelmi incidensekkel. Az ezekből származó incidensek számát belső képzésekkel és adatvédelmi tudatosság felépítésével lehet mérsékelni.

Ha viszont már felismertük, hogy incidens történt, akkor azt is meg kell állapítani, hogy milyen kockázattal jár az érintettekre nézve és meg kell kezdeni a további kockázatok megszüntetését vagy a minimálisra csökkentését.

A kockázati szint meghatározása során az alábbi a szempontokat minden esetben vizsgálni kell:

• az érintett adatok jellege,
• az érintett adatok érzékenysége (különleges adat, egészségügyi adat, genetikai adat),
• az érintett adatok mennyisége,
• az adatkezelés kontextusa,
• az érintettre gyakorolt lehetséges káros hatások (fizikai, vagyoni és nem vagyoni kár),
• az adatkezelő szervezete,
• az adatkezelő fő tevékenységének jellege,
• az adatkezelőt fokozott felelősség terheli-e.

Szintén segítségül hívható az idézett iránymutatás is, ha az adatvédelmi incidens besorolható az 1-6.  kategóriák valamelyikébe. Természetesen ekkor sem szabad csak és kizárólag az iránymutatásban foglaltakra hagyatkozni, mivel azok a példaként leírt esetekkel 100%-ban megegyező adatvédelmi incidensekre igazak.

Ha a mi ügyünk akár csak egy tény/körülmény tekintetében is eltér a példában említettől, akkor azt külön vizsgálnunk és értékelnünk kell.

Összegzésként megállapítható tehát, hogy bizonyos adatvédelmi incidenseket lehet tipizálni, másokat nem, de a tipikus incidenseket sem szabad sablonosan kezelni.