Mi történik, ha a munkavállaló miatt következik be egy adatvédelmi incidens?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A technológia fejlődésének vitathatatlan előnyeivel párhuzamosan az adatvédelmi incidenseket okozó fenyegetések köre és súlyossága is rohamosan növekszik. Egyre több program, módszer és vírus létezik a kibertérben, ami képes még a legvédettebb rendszeren is áthatolni és komoly problémákat okozni egy szervezeten belül. A biztonságra nézve a legnagyobb kockázatot azonban továbbra is „házon belül” kell keresni, az adatvédelmi incidensek túlnyomó többségét ugyanis az emberi figyelmetlenségek, rosszindulatú cselekedek, mulasztások okozzák, amelyekért a munkavállalók is felelősek lehetnek.

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi [a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelete (a továbbiakban: GDPR) 4. cikk 12. pont]. Egy bekövetkezett adatvédelmi incidens nem szükségszerűen jelenti azt, hogy abból az érintett személyeknek kára származik és az sem biztos, hogy maga az esemény nagy volumenű. Ennek ellenére a vállalkozásoknak észlelniük kell, hogy „rés keletkezett a pajzson” és át kell gondolniuk, adott esetben meg kell reformálniuk szervezési és technikai intézkedéseiket.

A GDPR alapelvi szinten megfogalmazza az integritás és bizalmas jelleg elvét, amely kimondja, hogy a személyes adatok kezelését olyan módon kell végezni, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve [GDPR 5. cikk (1) bekezdés f) pont]. A személyes adatok köré vont védelmi bástya kialakítása az adatkezelő felelőssége. Hogy mik azok a technikai és szervezési intézkedések, amelyek „megfelelőek”, azt a GDPR nem konkretizálja, hiszen a tudomány és technológia folyamatos változása, valamint az üzleti érdekek és egyéb gazdasági megfontolások ezt minden adatkezelő vonatkozásában egyedivé teszik. Ezen túlmenően pedig az adott vállalkozást érintő lehetséges kockázatok köre sem ugyanaz. Például, a nagyszámú érintett egészségügyi adatát kezelő biztosító jóval magasabb kockázattal néz szembe egy adatvédelmi incidens esetén, mint egy cipőbolt. Éppen ezért az adatbiztonsági intézkedések volumenének meghatározása során erre is figyelemmel kell lenni. Azt azonban a GDPR 25. cikk (1) bekezdése is rögzíti a beépített adatvédelem kapcsán, hogy minden technológiai és szervezeti intézkedés célja egyrészt az adatvédelmi elvek hatékony megvalósítása, másrészt a GDPR-ban foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

A munkavállalók által okozott, adatvédelmi incidenst eredményező események elkerülése a munkáltatói szervezési intézkedéseit igényelheti. A tapasztalat azt mutatja, hogy az adatvédelmi oktatás és tudatosítás, valamint alapvető adatbiztonsági ismeretek elsajátítása csökkentheti a munkavállalók által okozott incidensek előfordulásának gyakoriságát. Az adatvédelmi tudatosság növelésébe természetesen az is beletartozik, hogy a munkavállaló képes megállapítani, hogy egy adott esemény kockázatos vagy adatvédelmi incidenshez vezethet. Jellemző fenyegetést jelenthet, ha egy látszólag ismerős, a szervezeten belülinek tűnő e-mail címről küldenek levelet a munkavállalónak, aki arra válaszol és személyes adatokat tartalmazó mellékleteket csatol az üzenethez. Ugyanígy problémás, ha a munkavállalók nem ellenőrzik a címzetti listát és olyan személy számára küldenek információkat, akik nem jogosultak ahhoz hozzáférni. Ezek az esetek részben figyelmetlenségből fakadnak, de sokszor a rosszindulatú magatartás is eredményezhet incidenst. Így például, ha a munkavállaló szándékosan tölt le vagy továbbít, esetleg töröl személyes adatokat a céges szerverről.

Az adatvédelmi incidenst az adatkezelő egyébként köteles bejelenteni a NAIH felé legkésőbb 72 órával azután, hogy az a tudomására jutott. A bejelentés akkor hagyható el, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyek jogaira nézve [GDPR 33. cikk (1) bekezdés]. Az adatkezelőnek a bejelentésében többek között ismertetni kell az incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, az érintett adatok kategóriáit és hozzávetőleges számát, a valószínűsíthető következményeket, valamint az incidens orvoslására tett vagy tervezett intézkedéseket [GDPR 33. cikk (3) bekezdés]. A NAIH ezt követően hatósági ellenőrzés keretében vizsgálja meg az ügyet.

Az incidensben érintett személyekkel, valamint a NAIH-val szemben az adott vállalkozás, mint adatkezelő tartozik felelősséggel. Ez egyrészről reputációs kockázatot, másrészről adatvédelmi bírságot vonhat maga után, ami önmagában véve is jelentős terhet róhat az adott entitásra. A munkavállaló és a vállalkozás, mint munkáltató közötti kapcsolatban a munkavállaló felelőssége és adott esetben szankció kilátásba helyezése merülhet fel. A munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: Mt.) 53. § (1) bekezdés c) pontja rögzíti, hogy a munkavállaló a munkáját az általában elvárható szakértelemmel és gondossággal, a munkájára vonatkozó szabályok, előírások, utasítások és szokások szerint végezni. Így, ha az adatvédelmi incidenst a munkavállaló idézte elő és egyébként az adatvédelmi szabályok betartására a munkaszerződés és/vagy belső szabályzatok alapján köteles, akkor ezt a kötelezettségszegés végső soron akár a munkaviszony megszüntetéséhez is vezethet. A vétkes kötelezettségszegés esetén alkalmazható hátrányos jogkövetkezményeket a munkaszerződésben rögzíteni kell (kivéve, ha a felek kollektív szerződés hatálya alatt állnak). A hátrányos jogkövetkezményeket a kötelezettségszegés súlyával arányban kell megállapítani [Mt. 56. § (1) bekezdés]. Fontos megjegyezni, hogy a szándékos és a gondatlan kötelezettségszegés is vétkes kötelezettségszegésnek minősül, így a gondatlan magatartás eredményeként bekövetkezett adatvédelmi incidens is megalapozhatja a munkavállalóval szembeni hátrányos jogkövetkezmény alkalmazását.

Az adatvédelmi incidenseket jobb elkerülni, vagy ha ez teljesen nem is lehetséges, az előfordulásukat minimalizálni. Ezt a hatékony és célorientált technológiai és szervezési intézkedésekkel lehet megvalósítani, amely során kiemelt figyelmet kell fordítani a munkavállalók által okozott incidensek számának csökkentésére az adatvédelmi tudatosítás révén, amit természetesen az adott helyzetben indokolt technológiai megoldásokkal kell kiegészíteni. A munkáltatóknak emellett rögzíteniük kell, hogy milyen adatvédelemmel összefüggő szabályok betartását várják el a kollégáktól, és csak ezután állapíthatják meg azt, hogy a kötelezettségszegő dolgozóval szemben milyen hátrányos jogkövetkezményt alkalmaznak.

---