hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Visszaélés, zsarolás lopott adatokkal: fontos GDPR-kérdésben döntött az EU Bírósága

  • dr. Kéri Ádám ügyvéd, compliance szakértő

Az adatvédelmi incidensekhez kapcsolódó felelősségre vonatkozó fontos kérdéseket vizsgált meg az Európai Unió Bírósága (EUB) a C-340/21. számú ügyben. A felelősség megállapítása adott esetekben csillagászati mértékű adatvédelmi bírságot vagy sérelemdíjat is vonhat maga után. Cikkünkben ismertetjük a döntés széles körben érvényes tanulságait.

Cybertámadás érte egy adóhatóság adatbázisát

Hatmillió adózó személyes adatai válhattak hozzáférhetővé annak következtében, hogy cybertámadás érte a bolgár adóhatóság adatbázisát. A felperes ezzel összefüggésben bíróság előtt azt állította, hogy nem vagyoni kárt szenvedett az adóhatóság kötelezettségszegése következtében, mivel a hivatal nem tett meg mindent a személyes adatok megfelelő őrzése érdekében (GDPR 5. cikk (1) bekezdés (f) pontja, 24., illetve 32. cikkek). Az adózó közölte, fél attól, hogy a bűnözők később megzsarolják, vagy hogy ezen adatok nyilvánosságra kerülnek. Azt sem tudta kizárni, hogy ennek következtében elrabolhatják vagy testi sértés áldozata lehet.

Az adatvédelmi incidens – mit mond a GDPR?

A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) 4. cikke szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidens megelőzése az adatkezelőnek kiemelt kötelezettsége.

Ehhez kapcsolódóan a rendelet 5. cikk (1) bekezdésének (f) pontja előírja, hogy az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosított legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). A 24. cikk ezt azzal egészíti ki, hogy az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja, és szükség esetén naprakésszé teszi. A 25. cikk pedig rögzíti, hogy mindezen feltételek mentén végrehajtott intézkedések révén garantálni kell a kockázat mértékének megfelelő szintű adatbiztonságot.

EUB-döntés: bizonyítás esetén megalapozott lehet a sérelemdíj, de az abszolút biztonság nem elvárható

Az EUB előzetes döntésében kiemelte, hogy a GDPR ugyan valóban előír kockázatelemzést, illetve megfelelő technikai és szervezési intézkedéseket, ám az adatvédelmi incidens nem jelenti azt, hogy ezen kötelezettségek szükségképpen sérültek. Abszolút biztonság ugyanis nem garantálható csupán annak kockázata csökkenthető, illetve csökkentendő.

Ugyanakkor az a körülmény, hogy az adatvédelmi incidenst harmadik fél és nem az adatkezelő okozza, nem zárja ki az adatkezelő felelősségét. A bizonyítás a GDPR 82. cikke szerint az adatkezelőt terheli, így neki kell bizonyítania a megtett technikai és szervezési intézkedések megfelelőségét. Arra is utalt, hogy az Österreichische Post döntés alapján az adatvédelmi incidens lehetséges következményeitől való félelem ténylegesen megalapozhat sérelemdíjat, amennyiben a speciális körülmények között ez bizonyított. A tagállami bíróságnak tehát ezt a körülményt kell vizsgálat tárgyává tenni.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Időszakos orvosi vizsgálatok

dr. Hajdu-Dudás Mária

ügyvéd

Egyéni vállalkozásból kivonás

Lepsényi Mária

adószakértő

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 november
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink