Milliárdokba kerülhet és nem sumákolható el az adatvédelmi incidens

A sajtóban megjelent információk alapján tájékoztatást kért Péterfalvi Attila a BKK-tól az online jegyvásárlási rendszerét ért támadásról – erről a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke tájékoztatta a Zoom.hu-t. Péterfalvi elmondta: a vizsgálatot a jövő május 25-től hatályba lépő egységes európai adatvédelmi törvény gyakorlati próbájának tekinti.

2018. május 25 után ugyanis mindenkinek, akik mások személyes vagy más adatait kezelik és a törvény szerint adatkezelőnek minősülnek, 72 órán belül be kell majd jelentenie az adatvédelmi hatóságnál a rendszerét érintő valamennyi incidenst. Értékelniük kell a személyes adatokat érintő illetéktelen behatolás súlyosságát, mennyi személyes adat volt veszélyben, került esetleg illetéktelen kezekbe.

Az adatkezelőnek mindenek előtt az incidens észlelését követően haladéktalanul meg kell akadályozni, hogy azokon túl, amelyeket a behatolók addigra már megszereztek, további adatok kerüljenek illetéktelen kezekbe. A bejelentést követően haladéktalanul ki kell vizsgálnia, mi tette lehetővé az illetéktelen behatolást a rendszerébe, ki a felelős a történtekért, majd meg kell tennie a szükséges intézkedéseket a hasonló esetek megelőzése érdekében.

MTI Fotó: Marjai János

Az egységes európai adatvédelmi törvény azt is előírja, hogy mikor kell az adatkezelőknek a rendszerükbe történt illetéktelen behatolásokról tájékoztatniuk az érintetteket. Amennyiben az incidens nagy számú ügyfelet érint, az adatokat kezelő cégnek – például egy közszolgáltatónak – a sajtón keresztül kell felhívnia a figyelmet, hogy a nála nyilvántartott adatok illetéktelen kezekbe kerülhettek.

Az adatvédelmi hatóság – Magyarországon ez a Péterfalvi Attila vezette NAIH – a bejelentést követően maga is ellenőrzi az adatkezelőt. Egyfelől, hogy az adatkezelő teljes körűen feltárta-e az incidenst lehetővé tévő okokat, másfelől, hogy megtette-e a szükséges intézkedéseket a hasonló esetek megelőzése és eleget tett-e a törvényben előírt tájékoztatási kötelezettségének.

Rossz hír a BKK-nak, hogy az adatvédelmi hatóságnál nemcsak a megtámadott fél tehet bejelentést, hanem bárki más is, így akár a rendszert sikeresen támadó hacker is. A hatóságot azonban nem lehet elvitetni a rendőrséggel, ők akkor is ki fogják vizsgálni, hogy miképpen hatolhattak be illetéktelenek a rendszerébe, ha feljelentést tesznek és a rendőrség nyomozást indít az elkövető ellen.

A BKK mostani feljelentése és az NNI intézkedése nagy valószínűséggel arra fogja sarkallni a hazai hackereket, és mindenki mást is, aki hibát észlel a közszolgáltatók rendszereiben, hogy a jövőben ne az adatkezelőnek, hanem a hatóságnak jelentsék be tapasztalataikat. Így viszont a hatósági vizsgálat, és – amennyiben a hatóság is lyukat talál a rendszerben – a bírság elkerülhetetlen lesz.

Péterfalvi lapunknak elmondta, az ilyen ügyeket nem lehet elsumákolni. Minden uniós tagállamban ugyanazok a szabályok, ugyanazon elvek szerint kell kivizsgálni a súlyosságuk szerint kategorizálni az incidenseket. És ugyancsak egységes elvek szerint kell kiszabniuk a bírságot is, ha kiderül, hogy az adatkezelőt is felelősség terheli a történtekért, mert például nem kellő körültekintéssel működtette az adatnyilvántartását, nem tette meg a szükséges biztonsági intézkedéseket.

Másik rossz hír a BKK-nak, és minden olyan szolgáltatónak, aki rendőrért kiállt akkor is, ha a rendszerét feltörők azonnal tájékoztatják őket rendszerük hiányosságairól, hogy az adatvédelmi bírság összege akár húszmillió euró, mintegy hatmilliárd forint is lehet. A nemzeti adatvédelmi hatóságoknak nincs lehetőségük arra hivatkozva mérsékelni a bírság összegét, hogy mi egy szegény ország vagyunk, és a cégeinket sem veti fel a pénz.

A BKK rendszerét feltörő fiatal ügyében Péterfalvi nem kívánt állást foglalni. Szerinte az ombudsman hatáskörébe tartozik majd a nyomozás és az ügy jogerős lezárása után azt megvizsgálni, hogy így kellett-e eljárnia a rendőrségnek.

Jogászok szerint azonban már az is megkérdőjelezhető, hogy bűncselekményt követett-e el a fiatalember. Egy cselekmény akkor minősül bűncselekménynek, ha a Büntető Törvénykönyv valamely rendelkezésébe ütközik és a társadalomra veszélyes. Ez esetben ez utóbbival kapcsolatban fogalmaztak meg kételyeket az általunk megkérdezett jogászok. Hiszen a fiatalember azonnal tájékoztatta a BKK-t a rendszer sebezhetőségéről, ami igencsak hihetővé teszi, hogy nem a károkozás, hanem a segítő szándék vezethette.