hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Megabírságot rótt ki a NAIH egy adatfeldolgozóra

  • dr. Kéri Ádám ügyvéd, compliance szakértő

Nem régen nyilvánosságra hozott döntésében (NAIH-1245-29/2023.) a Nemzeti Adatvédelmi és Információszabadság Hatóság 110 millió forint adatvédelmi bírságot szabott ki az eKRÉTA rendszer fejlesztő-üzemeltetőjére. Az úgynevezett adatfeldolgozói státuszban lévő feleket ritkán sújtják adatvédelmi bírsággal, erre tekintettel az ügy részleteit e szempontból is górcső alá vettük.

A projektvezető gyanús e-mailt nyitott meg

A hatóság 2022. november 7. napján szerzett tudomást egy internetes hírportálon megjelent cikkből az eKRÉTA Informatikai Zrt.-t ért informatikai támadásról és adatvédelmi incidensről, majd ezt követően, mivel nem kapott az ügyféltől adatvédelmi incidensbejelentést, 2022. november 8. napján az általános adatvédelmi rendelet 32-34. cikkében foglalt kötelezettségek Ügyfél általi teljesítésének tárgyában hatósági ellenőrzést indított. Ahogyan arra a Telex cikk is utalt a KRÉTA e-naplóként ismert, de mára egy komplett közoktatási informatikai rendszerré fejlődött. Rengeteg modul és alkalmazás tartozik hozzá, többek között olyan szolgáltatásokkal, mint az az e-napló, e-ellenőrző, intézményi adminisztrációs rendszer, digitális kollaborációs tér, e-ügyintézés, illetve egészségüggyel, étkeztetéssel, gazdálkodással, HR-ügyekkel kapcsolatos adminisztráció. A probléma oka az volt, hogy egy átverős e-mailre egy projektvezető rákattintott, melyet követően a támadók hozzáfértek az informatikai rendszerekhez, benne a KRÉTA által kezelt adatokhoz, a fejlesztői adatbázisokhoz és kódokhoz. A hozzáférés több millió adatot érintett a diákok, alkalmazottak, gondviselők stb. tekintetében.

A GDPR-rel foglalkozó további írásainkat itt olvashatja el!

A GDPR is szigorú adatbiztonsági követelményeket tartalmaz

A GDPR 32. cikke határozza meg a kockázatarányos adatbiztonsági intézkedések körét. E szerint az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a személyes adatok álnevesítését és titkosítását; a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; illetve az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. Fontos, hogy ezen kötelezettségek önálló adatfeldolgozói felelősséget is jelentenek! A fő szabálytól eltérően tehát erre tekintettel az adatfeldolgozó maga is bírsággal sújtható.

OLVASSA TOVÁBB CIKKÜNKET, amelyből megtudja, hogy mivel indokolta döntését a NAIH!

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

TÖBB MINT TÖRVÉNYTÁR
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Külföldi részvényjuttatás kezelése a társasági adóban

Erdős Gabriella

adószakértő

TaxMind Kft.

Elengedett pótbefizetés adókötelezettsége?

Erdős Gabriella

adószakértő

TaxMind Kft.

Támogatás nyújtása/nem közcélú adomány

Erdős Gabriella

adószakértő

TaxMind Kft.

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 November
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink