skip to Main Content

Adatvédelmi incidens az adatvédelmi hatóságál

A Dán Adatvédelmi Hatóság (Datatilsynet) 2020. augusztus 20-án kiadott egy közleményt, mely szerint magánál a Hatóságnál történt egy adatvédelmi incidens. Kellemetlen hír ez egy olyan szervezetnek, mely gyakran éles kritikákat fogalmaz meg hasonló ügyekben, illetve komoly bírságokat alkalmaz.

Az ügyben fizikai adathordozók (papírlapok) érintettek, melyek érzékeny adatokat tartalmaztak állampolgárokról és alkalmazottakról. Ezeket az eredetileg digitális iratokat nem tervezték kinyomtatni, arra csupán azért került sor, hogy különböző ügyekben a döntések meghozatalához felhasználják. Pontosabban: a Hatóság által kinyomtatott olyan iratok okozták a problémát, melyek egy tévedés következtében nem kerültek szabályos módon megsemmisítésre. Az iratok belső használatra kerültek kinyomtatásra és feljegyzéseket, döntések kezdeti verzióit tartalmazták.

Mint kiderült, egy munkatárs tévedése miatt a megsemmisítésre váró dokumentumok tárolására szolgáló tárolóedény tartalmát szokványos papírszemétként kezelték, ezért azok nem kerültek rendesen megsemmisítésre, hanem elszállították újrahasznosítani. Az esetet sajnálatosnak nevezték, hiszen szigorú elvásárokat támasztanak a dán állampolgárok adatainak védelmével kapcsolatban, ugyanakkor ők egy ilyen könnyen megelőzhető hibát vétettek. Megjegyezte, hogy a vizsgálat jelenlegi állása szerint a kérdéses dokumentumok nem kerültek illetéktelen kezekbe, ugyanakkor a Hatóság mostantól kiemelt figyelmet fog fordítani rá, hogy hasonló eset a jövőben ne történhessen meg.

Az adatvédelmi incidens 2020 februárjától augusztusig tartott, amikor a Datatilsynet új épületbe költözött. Március és június között azonban nem kerültek ki emiatt dokumentumok, ugyanis a teljes Hatóság otthoni munkarendben dolgozott a Covid-19 járvánnyal kapcsolatos intézkedések miatt.

A vizsgálat megkezdését követően a Hatóság:

  • azonnal megváltoztatta a papírhulladék megsemmisítésének menetét,
  • megállapította, hogy a törvényben előírt bejelentési rendelkezések megsértésre kerültek, mivel az illetékes munkatárs nem jelentette azt be 72 órán belül – az érintett alkalmazottat ezért megrovásban részesítette,
  • megvizsgálja, hogy szükséges-e az ügyben az érintettek személyes értesítése, és
  • új belső intézkedéseket hozott a Hatóság munkája során keletkező személyes adatokat tartalmazó hulladékok megsemmisítésére.

Csaknem egy héttel az első közlemény után a Hatóság egy újabbat adott ki, mely az ügyben érintett személyek értesítéséről számol be. Ebben beszámolnak róla, hogy az adatvédelmi incidens óta továbbra sem találtak rá bizonyítékot, hogy a vonatkozó adatokat illetéktelenül használták volna fel, vagy hogy ahhoz illetéktelenek fértek volna hozzá, azonban ezek ellenére döntöttek az ügyben érintettek értesítéséről.

Az érintett adatok köre tartalmazza a bejelentők nevét, panaszának természetét, esetenként bizalmas adatokat, címeket. A címek kapcsán a Hatóság megjegyzi, hogy postai tevékenységét nagy általánosságban digitálisan végzi, ezért címek csak nagyon ritka esetekben kerülnek feldolgozásra. Szintén kis számban személyi számok is kompromittálódhattak, ezek alapján azonban nem kérhetők le az érintettek egészségügyi adatai (sok esetben ugyanis ez a szám az egészségügyi nyilvántartások alapja is Dániában). A vizsgálat azt is megállapította, hogy a kikerült dokumentumok főleg a Hatóság belső folyamatairól tartalmaztak információt (email-piszkozatok, döntés előkészítés során használt iratok, konzultációk munkaközi verziói).

A Hatóság döntésének megfelelően felkeresi a lehetséges érintetteket és felhívja figyelmüket az incidens esetleges következményeire, melyek szerintük elsősorban a következők lehetnek:

  • e-mailes érdeklődés kereskedőktől vagy természetes személyekről (spam),
  • érintettekkel kapcsolatos adatok nyilvánosságra hozatala,
  • személyiséglopás az online térben,
  • adathalász támadások az érintettek ismeretségi köre ellen az érintett megszemélyesítésével.

A Datatilsynet felhívja az érintettek figyelmét, hogy a közeljövőben fokozottan figyeljenek hasonló esetleges támadásokra, illetve további információkat osztott meg, melyek segíthetnek ezek elkerülésében.

Back To Top