Adatszivárogtatás munkahelyi környezetben

Adatszivárogtatás munkahelyi környezetben

A jogszabályok változása azt mutatja az elmúlt időszakban, hogy a jogalkotó egyre kiterjedtebb figyelmet igyekszik szentelni a természetes, valamint a jogi személyek adatai védelmének. Mindezek ellenére a gyakorlatban sajnos nem mindig akadályozható meg, hogy olyanok is hozzájussanak személyes, minősített vagy különleges adatokhoz, amelyek megismerésére, kezelésére, illetve felhasználására nem jogosultak.

A személyes adatok védelme nem csak a nagyobb vállalatok esetében különösen fontos, a kis-és középvállalkozásokat mint adatkezelőket is ugyanolyan szintű felelősség terheli. A személyes adatok kezelése kapcsán az egyik legfontosabb szabály, amely egyben korlátként is megjelenik, hogy azokat célhoz kötötten kell kezelni.  A mai világban a digitális platformok térnyerésének okán az adatok kezelése is egyre többször elektronikus úton történik, ezzel párhuzamosan növekszik annak kockázata is, hogy arra jogosulatlan személyek olyan adatokhoz jussanak hozzá, illetve azokat duplikálhassák, amelyekhez nincs jogosultságuk.

A munka törvénykönyvéről szóló 2012. évi I. törvény 10. § (1) bekezdése szerint a munkáltató a munkavállalótól csak olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése, illetve megszüntetése vagy munkajogi igény érvényesítése szempontjából lényeges. Ettől eltérő célból adatkezelés csak abban az esetben valósulhat meg, ha a munkavállaló ehhez kifejezetten hozzájárult. A cégeknél az adatkezelést jellemzően a HR osztály végzi, így a munkaviszonnyal összefüggésben tudomásukra jutott dolgozói adatok náluk állnak rendelkezésre, ezen okból kifolyólag az adatszivárgás esete is legkönnyebben itt valósulhat meg. Az itt kezelt és adott esetben másnak továbbított adatok alkalmasak arra, hogy az adott cégnél dolgozó munkavállaló könnyen beazonosítható legyen azzal, ha a rá vonatkozó bármely információ megismerhető lesz. Azonban nem csak a már foglalkoztatott munkavállalók adatai lehetnek veszélyben, hanem azon jelentkezőké is, akik részt vettek ugyan állásinterjún, de az állást végül nem kapták meg, ha adataik  tárolásra kerültek a cég rendszereiben.

Az adatszivárgás észlelése esetén azonnal lépéseket kell tenni annak érdekében, hogy orvosolják a felmerült problémát, valamint a jogszabály által előírt bejelentési kötelezettségnek is eleget tegyenek. Ennek megelőzése érdekében az Info tv. iránymutatásai alapján a munkáltatóknak célszerű bizonyos adatbiztonsági intézkedéseket megtenniük, hogy a hasonló helyzeteket megelőzzék.  Például a kezelt személyes adatok megfelelő biztosítása érdekében a munkáltatónál megfelelő műszaki és szervezési intézkedéseket hoznak ennek kapcsán.

Ha mégis előfordul adatvédelmi incidens, mert például a HR osztályon foglalkoztatott, a dolgozók beléptetését intéző munkavállaló megosztja harmadik személyekkel a munkavállalók adatait annak érdekében, hogy összehasonlítást végezhessenek az egyes munkavállalók fizetésében, az már kimeríti a jogszabályi rendelkezések szerinti adatvédelmi incidens fogalmát. Az Info tv. iránymutatást ad az adatvédelmi incidensek megfelelő kezeléséhez. Így, ha az adatkezelő vagy az ő rendelkezése alapján eljáró adatfeldolgozó által kezelt adatok összefüggésében fordult elő adatszivárogtatás, akkor azt haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzést követő 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak. A jogalap nélküli adatkezelés előfordulása esetén mihamarabb meg kell szüntetni az adatok kezelését és törölni kell őket a rendszerből.

Az adatvédelmi incidenssel kapcsolatban az egyes szankciók alkalmazására további iránymutatást a Polgári Törvénykönyvről szóló 2013.évi V. törvény ad, amelyben az egyes felróhatóságtól független szankcióktól kezdve egészen a sérelemdíjig széles skálán terjedő lehetőséget biztosítanak azoknak, akiknek személyiségi jogát valamilyen formában megsértették.