A GDPR a személyes adatok védelméről szól

2018. Május 25.-től alkalmazni kell a GDPR rendelkezésit, amely az Európai Unió általános adatvédelmi rendelete. Azóta mindenki felkészült (elviekben), hogy betarthassa a jogszabályokban foglaltaknak, de sokan csak papíron vagy a weboldalak hasábjain igyekeznek megfelelni ezeknek a kötelezettségeknek. Pedig egy GDPR figyelmeztetés vagy büntetés egyik vállalkozás hírnevének se tesz jót.

Röviden a GDPR-ról 

A GDPR (General Data Protection Regulation) az Európai Parlament és a Tanács 2016/679 rendelete. Ez határozza meg a természetes személyeknek, a személyes adatok kezelése tekintetében történő védelmét és az ilyen adatok szabad áramlását. Hatálya kiterjed minden EU-ban működő gazdasági társaságra. A régebben alkalmazott adatvédelmi szabályokhoz képest a GDPR szigorúbb követelményeket támaszt az adatkezelő szervezetek felé. 

A GDPR egy egységes rendszer az unióban

A GDPR a tagállamok számára egy teljesen egységes rendszert állít fel a szankciók tekintetében. Amennyiben a bíróság bizonyítja, hogy nem megfelelően használtuk fel az adatokat vagy nem figyeltünk oda az adatok tárolására, alapesetben maximum 10 millió euró vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírságot állapíthat meg. Itt fontos megjegyezni, hogy a rendelkezés azt is kimondja, hogy a kettő közül a magasabb összeget kell kiszabni. Súlyosabb esetben a bírság mértéke elérheti a 20 millió euró vagy a forgalom 4%-át is. 

GDPR figyelmeztetés elavult szoftver miatt 

Az elavult IT eszközök és szoftverek az egyik leggyakrabban használt támadási pontjai az adatvédelmi incidenseknek. Nem megfelelő mértékű odafigyelés miatt már a világ legnagyobb cégei is szenvedtek el hasonló támadásokat és az okozott károkon felül gyakran tetemes összegű bírságot is be kell fizetniük. 

A Lengyel Adatvédelmi Hatóság (UODO) 2021. február 17-én hozta nyilvánosságra, hogy figyelmeztetésben részesített egy élményfürdő üzemeltetésével foglalkozó céget. Az interneten közzétett információkból kiderül, hogy a fürdő az elavult biztonsági intézkedések miatt lett adatvédelmi incidens „áldozata”. 

Az adatkezelő – jelen esetben az üzemeltetésért felelős cég – a személyes adatokat tároló IT rendszert régóta nem tartotta karban, így, amikor egy zsarolóvírus bekerült a rendszerbe, nem volt hatásos módja azt kivédeni.  

Az UODO ezt követően kezdte meg a vizsgálatot, amely során feltárta, hogy a cég elmulasztotta a szükséges biztonsági és szervezeti intézkedéseket meghozni, amelyek az adatkezelés biztonságához elengedhetetlenek lettek volna és megakadályozhatták volna az adatvédelmi incidenst. 

A vizsgálat rámutatott, hogy az IT üzemeltető elavult operációs rendszert alkalmazott, illetve nem voltak alávetve megfelelő ellenőrzéseknek és frissítéseknek. A korlátozott és régen elvégzett tesztekben ugyanis csak az egyes szoftverek működését és a meghibásodások elleni védelmet tesztelték. Ennek következményeként történhetett meg, hogy mire a támadásról a cég tudomást szerzett, a személyes adatokat már titkosította a zsarolóvírus, azok visszaállításáért pedig “váltságdíjat” követelt. 

Az ügyben továbbá arra is fény derült, hogy az operációs rendszeren kívül a rendszeren futtatott egyéb szoftverek is potenciális hibaforrások voltak, mivel azokat a gyártók már nem támogatták, így biztonsági frissítéseket sem kaphattak. 

A Hatóság figyelmeztetésében külön kiemelte, hogy minden adatkezelőnek kötelessége az általa használt rendszereket folyamatosan tesztelni, felülvizsgálni és azokon igény szerint folyamatos változtatásokat végrehajtani, hogy minden esetben biztosítható legyen a kezelt adatok biztonsága. Ebben az esetben az adatkezelő ezen kötelezettségének csak az incidens után tett eleget. Új operációs rendszer használatára állt át és olyan új szoftvercsomagra váltott, melyhez elérhetőek a folyamatos biztonsági frissítések. Az elavult szoftverek használata esetén bekövetkező adatvédelmi incidensek számos esetben könnyedén elkerülhetőek lettek volna, ha az adatkezelő megfelelő figyelmet fordít a naprakész verziók használatára. 

A cég és az érintettek szerencséjére a vizsgálat rámutatott, hogy a személyes adatok csupán titkosítva lettek, azokhoz más személy illetéktelenül nem fért hozzá. Ebből kifolyólag az UODO megállapította, hogy az incidens nem járt negatív következményekkel az érintett számára. 

Emiatt döntött úgy a hatóság, hogy bírság helyett csak figyelmeztetésben részesíti a céget. Ebben nagy szerepet játszott, hogy az esetnek az érintettek között nincs kárvallottja, illetve, hogy az adatkezelő már a vizsgálat lefolytatása alatt szorosan együttműködött a Hatósággal. 

Nem csupán Rendszergazda 

A fentiekből is egyértelműen kiderül, hogy a cégeknek nem elég egy olyan vállalkozást megbízni az üzemeltetéssel, aki “csak ért hozzá”. Az IT rendszer biztonságos üzemeltetése, a jogtiszta szoftverek használata, a laptopok és számítógépek folyamatos karbantartása és a folyamatos ügyfélkapcsolat összessége nyújthat csak biztonságot. Még így is előfordulhat adatvédelmi incidens, de ezekre gyorsan lehet reagálni és a károkozás kockázata a minimálisra csökkenthető. 

Mi a mikro, kis, és középvállalkozásoknak nyújtunk teljeskörű informatikai szolgáltatásokat és egyedi igényekhez igazodva tartjuk karban a számítógépes rendszereket, valamint magasszintű felhasználói támogatással tesszük hatékonyabbá a cégek működését. Vegye fel velünk a kapcsolatot, keressen minket bizalommal.