Elhagyott pendrive miatt kapott bírságot a Heathrow reptér

Egy bizalmas információkkal teli, elvesztett pendrive-ot talált Nyugat-Londonban egy pontosan meg nem nevezett magánszemély, amelyet a  Sunday Mirrornak adott át; a lap pedig értesítette mind az ügyben érintett Heathrow repülőteret, mind pedig a hatóságokat. Az adathordozó összesen 76 könyvtárban olyan titkos adatokat tartalmazott a reptérrel kapcsolatban, mint például az angol királynő biztonsági útvonala és az azzal kapcsolatos intézkedések; a lezárt biztonsági területekre történő belépéshez szükséges azonosítók, vagy az öngyilkos merénylők elleni őrjáratok időrendje. A hatóság a bírságot azonban nem ezek miatt szabta ki, hanem a fájlokban található személyes adatok szabálytalan kezelése miatt.

A pendrive ugyanis számos magánszemély nevét, születési adatait, útlevélszámait, fényképét és egyéb személyes adatokat tartalmazott. Az incidens még a GDPR kötelező alkalmazását megelőzően történt, azonban a brit adatvédelmi törvény (hasonlóan a magyar szabályozáshoz) már abban az időpontban is védeni rendelte a személyes adatokat, és bírság kiszabását tette kötelezővé a visszaélések esetén. A hatóság a vizsgálat során nem a személyes adatok bizalmas jellegét (tehát hogy azok a királynő vagy a reptér biztonságára milyen hatással vannak) tartotta elsődlegesnek, hanem azt, hogy azok az egyes személyekre magukra mennyire jelentettek kockázatot - és hogy milyen intézkedéseket tett a társaság egy hasonló incidens megelőzésére.

Az ICO külön kiemelte határozatában, hogy a társaság az alkalmazásában levő 6,5 ezer munkavállalónak mindössze 2 százalékát részesítette adatvédelmi oktatásban, ami valószínűleg nagymértékben hozzájárult az incidenshez. A cég a bírsággal nem "válthatja meg" a hiányzó oktatást, hanem kénytelen azt haladéktalanul pótolni.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A hatóság további súlyos mulasztásként mutatott rá arra, hogy az érintett adathordozón semmiféle titkosítást nem alkalmaztak, és a bizalmas adatokat tartalmazó adathordozót nem megfelelően tárolták. A titkosítás a hatóság szerint olyan alapvető követelmény, amelyet bármely incidens esetében mint első és elengedhetetlen védelmi intézkedést kérnek számon az adatkezelőkön.

Mindezzel együtt mondhatjuk azt, hogy a reptér még könnyen megúszta az esetet. A kiszabott 120 ezer font bírság a Nagy-Britanniában a GDPR hatályba lépése előtt maximálisan kiszabható 500 ezer font 24 százaléka. Amennyiben ezt a GDPR szerint alkalmazható 20 millió euró maximális bírság összegre vetítenénk, akkor ugyanezen megfontolások alapján a hatóság 4,8 millió euró (több, mint másfél milliárd forint) bírságot szabhatott volna ki.

Mindez egy nagyon szűk személyes adatkörre vonatkozó incidens volt, amely bár nagy port vert fel, de a személyes adatokra való kihatása nem mérhető egy több százezer, vagy akár több millió személyes adat elvesztésével járó esethez. Aki nagy mennyiségű személyes adattal dolgozik, bizony jobban teszi, ha a megszokott pendrive vagy mobil merevlemez helyett inkább egy megbízható VPN vagy egy titkosított notebook segítségét veszi igénybe, ha mindenképpen otthon kell befejeznie a projektet (különben nagyon drága lehet a dolog, és senki sem szeretne ilyen környezetben szerepelni a legnagyobb honlapok híreiben).

A szerző dr. Muraközi Gergely, a Dr. Bakos – Dr. Smied – Dr. Muraközi Ügyvédi Iroda ügyvédje.