Milyen szempontok alapján bírságol a NAIH a GDPR hatálybalépése óta? Erről nyilatkozott szeptemberben a hatóság elnöke, Péterfalvi Attila.
A GDPR hatályba lépése óta eltelt mintegy másfél évben a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) ellenőrzési vizsgálatai nyomán már közzétett néhány határozatot, köztük olyan határozatokat, amelyekkel bírságot szabott ki a vizsgált szervezetek terhére a GDPR előírásainak megsértése miatt. Ezek a bírságok többnyire magyar gazdasági viszonyok között sem voltak kirívó mértékűek, de született már nagyobb összegű bírság kiszabás is, 11 millió Forint értékben, ez egy jelentősebb adatvédelmi incidens eltitkolása kapcsán került kiszabásra.
A határozatokból az látszik, hogy az adatbiztonsági intézkedések megfelelősége és az adatvédelmi incidensek megfelelő kezelése fontos szempont az ellenőrző vizsgálatok során a NAIH számára. A határozatokat érdemes elolvasni, ezekből sok tanulság levonható, hogy megfelel-e a szervezet a NAIH elvárásainak. Az eddig hozott határozatokból tanulságként többek között kiderül, hogy a NAIH kiemelten vizsgálja, hogy az adatkezelések kapcsán a GDPR-ban rögzített alapelvek érvényesülnek-e. Továbbá, minden adatkezelőnek kiemelt figyelmet és erőforrást kell szentelnie arra, ha érintetti kérelem érkezik az adatkezelés kapcsán, valamint érdemes minden adatkezelés és adattovábbítás kapcsán tudatosan, előre átgondoltan eljárni, hogy a jogszerű adatkezelés ne sérüljön.
Péterfalvi Attila, a NAIH elnöke nyilatkozatot tett közzé szeptemberben a GDPR hatályba lépése óta a NAIH által tett legfontosabb tapasztalásokról. Közleményében hangsúlyozta, hogy „adatvédelmi incidensekről a GDPR első egy éve során 385 bejelentést kaptak, ezek túlnyomó többsége igazolhatóan emberi mulasztásra vezethető vissza, például egy e-mailt nagyobb körnek küldtek el, mint akartak, elveszítettek adathordozókat, amiken személyes adatok vannak, de érik panaszok a munkahelyi e-mail-fiókok kezelését vagy akár az egészségügyi adatok kezelését is. Volt, aki nem kapta meg a másolatát bizonyos dokumentumoknak.” Nem lehet tehát elégszer hangsúlyozni, hogy „ha egy adatfeldolgozónál történik az incidens, azonnal jelentenie kell, 72 órán belül az adatvédelmi hatósághoz kell fordulni azzal, hogy mit tettek a helyzet orvoslására. Abban az esetben, ha magas az incidens kockázata, például különleges adatokat veszítettek el, akkor az érintetteket is tájékoztatni kell, illetve, ha túl sok az érintett, akkor a nyilvánosságot is tájékoztatni kell, miközben azonnal meg kell kezdeni elhárítani az incidenst” – hívta fel a figyelmet Péterfalvi Attila.
Minden szervezetnek érdemes „önellenőrzést” folytatnia azt illetően, hogy az ő esetében egy-egy a már megtörténtekhez hasonló vizsgálat alkalmával megfelelt volna-e az előírásoknak, és ha nem, akkor érdemes a gyakorlatát, adatkezelési tájékoztatóit és szabályzatait ennek megfelelően módosítani.