A GDPR értelmében, annak 2018. május 25-i hatályba lépése óta adatvesztés esetén incidens-bejelentési kötelezettség van érvényben, aminek célját sokan félreértelmezték az elmúlt időszakban:
“Egy vezetőségi kör e-mailt véletlenül illetéktelen címlistára küldtek ki egy hazai cégnél. Ezt a helyzetet próbálta kihasználni egy munkavállaló, aki a médiából megfelelő módon tájékozódott a GDPR-szabályokról. Olyannyira tisztában volt a saját jogaival, hogy jelezte is a vezetőségnek, hogy a kör e-mail hibás elküldésével valójában egy adatvédelmi incidens történt. A jelzéssel célja az volt, hogy személyes előnyt kovácsoljon a visszás helyzetből: közölte a vezetőséggel, hogy teljesítsenek bizonyos feltételeket, különben bejelenti az incidenst” – idézett fel egy úgynevezett adatvédelmi incidens miatt kialakult hajmeresztő helyzetet Dr. Bitai Zsófia ügyvéd, adatvédelmi szakértő.
Ez a történet több jelenleg előforduló hiányosságról is árulkodik – jegyezte meg a Bitai Ügyvédi Társulás vezető ügyvédje. “A cégeknél még nem valósultak meg a GDPR-megfelelőségi programok, az emberek a legtöbbet az úgynevezett adatvédelmi incidensekről hallottak, még sincsenek ennek a jelentőségével tisztában.”
Az ügyvédnő emlékeztet arra, hogy az adatvédelmi incidens-bejelentési kötelezettség nem azt a célt szolgálja, hogy azzal a munkáltatót jó alaposan meg lehessen szorongatni. Az incidens bejelentési kötelezettség célja, hogy az, hogy ha már minden biztonsági óvintézkedés megtétele ellenére az adatok mégis illetéktelen kezekbe kerültek, akkor ez a helyzetet minél hatékonyabban kezeljék, kockázatokat csökkentsék. Amennyiben egy ilyen incidens adatvédelmi kockázattal jár akkor elengedhetetlen, hogy a hatóság tudomást szerezzen az adatvesztésről. Vizsgálat esetén a hatóság arról kíván meggyőződni, hogy – az adott szervezet vagy vállalkozás GDPR szabályzatával összhangban történt-e az incidens megoldása. Vagyis elsősorban nem a cég megbüntetését, hanem a helyzet jogszerű és hatékony rendezését szolgálja ez a jogintézmény.
Dr. Bitai Zsófia szerint sok cég még mindig nem készítette el a GDPR-szabályzatait és egyéb szükséges dokumentációt, nem hozta összhangba a GDPR-ral az adatkezeléseit, valamint a munkavállalók megfelelő oktatására sem került sor. “Így valójában a tudatlanság állapotában vannak egyelőre” – jegyezte meg az adatvédelmi szakértő.
Május 25-én zárult le a GDPR szabályok bevezetésére adott két éves türelmi időszak, mely arra szolgált volna, hogy a személyes adatokat kezelő szervezeteknek, vállalkozásoknak legyen elegendő ideje a szabályzatokat megalkotni és alkalmazni, azaz bevezetni a napi gyakorlatukba. Ennek ellenére nagyon sok cég jelenleg állítja össze a megfelelőségi programját. A lemaradásban lévő cégek nyáron egy újabb, kvázi türelmi időszakot nyertek, mert az adatvédelmi hatóság nem kezdte el azonnal az ellenőrzéseket, ami alól a bejelentések alapján elinduló vizsgálatok kivételt jelentenek.
A késedelem további oka lehetett, hogy a megfelelőségi programok kialakítása olykor bonyolult feladat elé állította a cégeket, amellyel május 25-ig nem tudtak megbirkózni. Dr. Bitai Zsófia szerint hallott olyan, úgynevezett komoly cégről, ahol szinte semmi sem kezdődött el GDPR-ügyben. “Ezekre az esetekre is alkalmazni kell a régi, római jogi formulát: a jog nem tudása nem mentesít” – emlékeztetett az ügyvédnő.