2020. június 18.-ai cikkünk (Óriási GDPR büntetés ‒ de én megúszhatom?) után érdeklődéssel figyeltük, történik-e változás a honlapok GDPR jogkövetésében? A mi cikkünkkel majdnem egy időben megjelent egy cikk, amely a témánkat adó NAIH határozatok (a NAIH/2020/1160/10, és az előzményeként megjelent NAIH/2019/7105) következményeivel foglalkozott, azonban a magyar honlapokon nagyon kevés változás látható, amely a GDPR-nek való megfelelést célozza.
Most megpróbálunk egy kissé konkrétabban válaszolni az „Én megúszhatom?” kérdésre.
Habár a szolgáltató (a DIGI) határidőben bejelentette az incidenst a hatóságnak, az eljárás folyamán együttműködő volt és nincs arra utaló jel, hogy az adatokhoz az etikus hackeren kívül illetéktelen személy hozzáfért volna (bizonyos értelmezés szerint lehet, hogy nem is volt incidens?...), ezeket a NAIH nem vette figyelembe enyhítő körülményként.
Az ügyfelek által látogatott honlapok üzemeltetőivel kapcsolatban fokozott biztonsági elvárások állnak fenn ‒ ez többek között rendre a következőket jelenti:
- az ügyfelek által látogatott honlapoknak GDPR és kiberbiztonsági szabályoknak egyidejűleg meg kell felelniük, vagyis
- a kiberbiztonságot kiemelve a határ- és végpontvédelem folyamatos figyelésére, a működtető rendszerek folyamatos frissítésére (és a példa szerint nem csak a gyártó által kiadott hivatalos javító csomagok, hanem az abból kimaradó egyéb javításokat is figyelve!),
- a GDPR megfelelőséget említve pedig az ügyfelektől bekért személyes adatok kezelésével kapcsolatos GDPR szabályok pontos betartására hívjuk fel olvasóink figyelmét.
- a GDPR nem dokumentációs feladat, vagyis elégtelen, nem megfelelő az a felfogás, és működés, hogy a honlap egy adott pillanatban megfeleljen a GDPR előírásainak. Elégtelen, és adott esteben biztosan bírságot von maga után a honlapokon az a régi felfogás, amely a GDPR hatálybalépése előtt (és zömében még ma is) általánosan elterjed volt (az adattárolás jogcíme, és határideje, a személyes hozzájárulás megszerzése/kikényszerítése (Consent Management Provider CMP) stb.). A honlap állapotát (biztonsági és üzemeltetési szempontból egyaránt) folyamatosan figyelemmel kell kísérni, és a honlap üzemelése folyamán előforduló incidensekre (időbeli és megoldásbeli) megfelelő választ kell tudni adni.
- az incidensek megfelelő kezelése a NAIH értelmezése szerint nem (annyira) enyhítő körülmény.
Az általánosan tapasztalható tendencia a következő: a NAIH az érintettek saját (incidens bejelentés), vagy külső kezdeményezés alapján egyre több vizsgálatot folytat, és a vizsgálatai során szigorúan jár el a kisebb és nagyobb fajsúlyú esetekben egyaránt.
A Nemzeti Adatvédelmi és Információszabadság Hatóság 2019-ben az előző évhez képes több, mint kétszer több adatvédelmi hatósági ellenőrzést folytatott le, és nyugodtan feltételezhetjük, hogy az ellenőrzések száma évről évre nőni fog.
Megismételjük: egyre csökken annak az esélye, hogy a GDPR-nek nem megfelelő honlapok megúszhassanak egy NAIH ellenőrzést!
Ha kérdései vannak, forduljon hozzánk, küldje el véleményét, kérdését, észrevételét a e-mail címre