Eddig 129 adatvédelmi incidenst jelentettek be a magyarországi cégek az Adatvédelmi Hatósághoz – mondta el a Piac & Profit kérdésére Péterfalvi Attila, a hatóság elnöke. Az incidensek többsége ügyfélkapcsolati területről érkezett, de már folyik az első nagyobb nemzetközi vizsgálat is.
Több mint három hónapja léptek hatályba a GDPR-ként ismert uniós adatvédelmi szabályozás rendelkezései. Hogyan értékeli az elmúlt időszakot?
Jelentősen több panasz és konzultációs megkeresés érkezett a hatósághoz az elmúlt évek hasonló időszakához viszonyítva, amiből arra lehet következtetni, hogy az új szabályozás tudatosabbá tette az adatalanyokat, gyakrabban fordulnak a hatósághoz adatvédelmi panaszaikkal, míg a konzultációs megkeresések – melyek egy része az adatkezelőktől érkezik – magas száma és azok tartalma arra enged következtetni, hogy a cégek nagyobb hangsúlyt fektetnek az adatkezelésükre, és gondosabban mérik fel és tervezik meg adatkezelési gyakorlatukat.
Sikerült a felkészülés a magyar üzleti szférában? Tapasztalható megoszlás cégméret szerint a felkészültség és a tudatosság szempontjából?
Tapasztalataink szerint a cégek jelentős része értesült az új adatkezelési szabályozásról, és ennek megfelelően áttekintette adatkezelését. Az elmúlt évek vizsgálati tapasztalatai alapján kijelenthető, hogy a nagyobb cégek tudatosabbak voltak, és komolyabban vették az adatvédelmi követelményeket, azonban az utóbbi időszakban úgy látjuk, hogy a tudatosság egyre inkább megfigyelhető a kisebb cégek esetében is, de természetesen a nagyobb erőforrások miatt a nagyobb méretű cégek, cégcsoportok alaposabb felkészülést tudtak folytatni a GDPR-ra való felkészülés jegyében.
Tártak-e fel, és ha igen, milyen problémákat, tudásbeli hiányosságokat a magyar kkv-szektorban?
A GDPR hatálybalépését követően eltelt rövid időszak alatt a Hatóság nem azonosított még olyan új, a GDPR alkalmazásához köthető tipikus problémákat, hiányosságokat, amik kifejezetten a kkv-szektorra vonatkoznának.
Hány adatvédelmi incidenst jelentettek be a hatósághoz? Jellemzően milyen területeket érintettek az incidensek?
129 adatvédelmi incidenst jelentettek be. Az incidensek jelentős része ügyfélkapcsolati területről érkezik a közműszolgáltatóktól, telekommunikációs szolgáltatóktól és pénzügyi szolgáltatóktól. A magyar incidens bejelentések száma nem marad el más országok hasonló adataitól. A hasonló méretű országok átlagához közelít a hazai szám. (A július végi állapot 79 bejelentett incidens volt.)
Mit tart az eddigi bejelentések alapján a legfőbb tapasztalatnak, illetve mire figyelmeztetné a vállalkozásokat az adatvédelmi incidensek kezelésével kapcsolatban?
Az adatkezelőknek érdemes előre felkészülni az adatvédelmi incidensekre, hogy kész tervvel rendelkezzenek arra, hogy ki, mit köteles megtenni szervezeten belül egy adatvédelmi incidens bekövetkezése esetén.
Információink szerint egy nemzetközi incidensbejelentés kivizsgálása is folyamatban van, amelyben több mint 90 millió genetikai adat volt érintett. Van-e az ügynek magyar vonatkozása, és ha igen, hány magyar állampolgár adatait érinthette az incidens?
Az ügyben egy másik európai hatóság a vezető hatóság, amely a magyar hatóság megkeresésére közölte, hogy elfogadja a vezető hatósági kijelölést. A magyar hatóság érintett hatóságnak jelölte meg magát. Az ügy kivizsgálása a vezető hatóság kezében van, a NAIH a vezető hatóság döntés tervezetéhez tud majd észrevételt fűzni.
Mik a NAIH eszközei ilyen helyzetben?
A GDPR-ban leírt eszközökkel léphet fel a NAIH az adatkezelővel szemben, így az érintett adatkezelőt kötelezheti megfelelő incidenskezelési lépések megtételére, illetve végső esetben tízmillió eurós bírsággal sújthatja.
Az eredeti cikket a Piac és Profit oldalán lehet elolvasni!