István, Vajk
17 °C
34 °C

Akit zsaroló hekkerek szívatnak meg, könnyen lehet, hogy még büntetést is fizet

2018.01.10. 05:05
Aki személyes adatokat kezel, annak nagy a felelőssége, és hamarosan az unió területén még szigorúbb lesz a szabályozás. Ha egy bosszúálló munkavállaló, vagy egy zsaroló hekker, esetleg egy az autónkat feltörő laptop-tolvaj visszaél a megszerzett adatokkal, az ártatlan adatgazda is büntetést kaphat.

Két év felkészülési idő után, idén május 25-től immár itthon is életbe fog lépni az európai uniós GDPR (General Data Protection Regulation - Általános Adatvédelmi Rendelet). Alföldi Péter, a kanadai hátterű Colonnade Insurance SA vállalati biztosításokért felelős vezetője elmondta, az új európai adatvédelmi szabályozás ugyan nem hoz forradalmi újdonságot, leginkább harmonizálja az eddigi törvényeket és rendeleteket, de bizonyos pontokon szigorítja az eddig sem éppen laza szabályozást.

Nemzetközi példák sorozata mutatja, hogy amennyiben egy-egy személyes adatokat is kezelő intézményből valahogyan adatok szivárognak ki, akkor még úgy is elmeszelhetik a cégeket, ha azok teljesen jóhiszeműek voltak a történetben.

Megzsarolták a plasztikai ügyfeleket

Litvániában zsaroló hekkerek csaptak le egy plasztikai sebészetre. A Grozio Chirurgija Clinic sikeres vállalkozás volt, rengeteg nyugat-európai ügyél is a jó minőségű, de relatíve olcsó litván magánsebészeten végzett szépészeti beavatkozásokat.

Untitled-3
Fotó: Instagram/groziochirurgija
A bűnözők 25 ezer ügyfél személyes adataihoz jutottak hozzá, többek között „előtte-utána” fotókhoz is,

amelyeket könnyen párosítottak az érintettek személyes adataival, címével, telefonszámával. A bűnözők több százezer eurós zsarolásba fogtak, „váltságdíjat” követeltek a klinikától azért, hogy a képeket és a személyes adatokat ne tegyék fel az internetre.

A klinika nem engedett a zsarolásnak, nem fizetett. Ekkor a zsarolók elkezdtek közvetlenül az ügyfelekhez fordulni, akik közül sokan inkább fizettek pár ezer eurót, majd nyomban beperelték a plasztikai sebészetet, mondván a személyes adatok hanyag kezelése miatt érte őket kár. A plasztikai sebészet végül belerokkant a megítélt kártérítésekbe.

A bosszúálló

Nem járt jobban a Morrisons nevű, bradfordi központi brit áruházcég sem, amely 130 ezer alkalmazottjával a nagy-britanniai szupermarket piac negyedik legnagyobb vállalata. Egy Andrew Skelton nevű korábbi alkalmazott, aki a cég pénzügyi osztályán dolgozott, megsértődött a munkaadójára, és 2014-ben úgy állt bosszút, hogy nyilvánosságra hozta az áruház százezer dolgozójának a fizetését.

Ez az Egyesült Királyságban is főbenjáró bűn,

Skelton végül 8 év börtönt is kapott

egy összetett büntetőeljárásban, de nem járt jól az áruház sem. Hiába bizonygatta mindvégig, hogy teljesen vétlen, hiszen a bekattant munkavállaló hivatalból láthatta az adatokat, a több mint 5500 alkalmazott egy pertársaságba tömörült, és végül az áruháznak is fizetnie kellett.

Adatvédelem egykor és most

Az unió egyre fontosabbnak ítéli a személyes adatok védelmét, amelyek gyakorlatilag a természetes személlyel kapcsolatos bármely adatot lefednek (név, lakcím, telefonszám, e-mail cím, egészségügyi adatok), ezek felett mindenki önrendelkezhet, ilyen adatok csak önkéntesen vagy törvényes és tisztességes módon gyűjthetőek.

Éppen ezért az adatok kezelői minden esetben kötelesek betartani a vonatkozó jogszabályokat, ha pedig valaki úgy érzi, hogy személyes adatait nem óvták kellő gondossággal, akkor kárigénnyel léphetnek fel. A mostani rendelet a vonatkozó jogszabályokat harmonizálja,. De igyekszik még hatékonyabbá tenni a természetes személyek adatainak védelmét és erősíteni a jogorvoslati lehetőségeket.

A sajtóban

Havas Katalin, a Magyar Lapkiadók Egyesületének főtitkára egy, a Magyar Biztosítók Szövetsége (MABISZ) által szervezett háttérbeszélgetésen elmondta, hogy

az írott sajtóban különösen kritikus lesz, hogy milyen büntetések és milyen hatósági gyakorlat érvényesül majd

a lapokkal szemben (a szervezet 800 online és offline lapcímet, vagyis az írott sajtó piacának 90 százalékát reprezentálja), hiszen a médiában nem csak a szokásos munkaadói adatkezelések, de a működésből fakadó adatkezelések, előfizetői adatbázisok, hírlevelek küldése is jogszabályi megfelelést igényelhet.

Miközben természetesen a tartalom, vagyis a cikkek is sokszor ütközhetnek abba a helyzetbe, hogy egy-egy érintett személy megnevezése, vagy fotójának közlése sérti-e az új adatvédelmi szabályokat.

Van rá biztosítás

Alföldi Péter szerint

az új, a szigorúbb törvényre való felkészülést senki nem spórolhatja meg,

ugyanakkor a kockázatokat csökkentheti, hogy a hazai piacon is elérhető adatvédelmi felelősség-biztosítás. A szolgáltatás röviden arról szól, hogy amennyiben egy biztosított társaságtól valamiképpen kiszivárognak érzékeny adatok, és az érintett magánszemélyek emiatt kárigénnyel léphetnek fel (például a jó hírnév vagy a szerzői jog megsértése miatt), vagy jogvédelmi, szakértői költségek is felmerülhetnek, vagy a hatóság büntethet, akkor a biztosító helytáll a biztosítottakkal szemben.

További esetek

Eset ugyanis valóban rengeteg van. Csak az elmúlt hónapok történései közül kiemelkedett az Aetna, egy másfél évszázada működő egészség-biztosító esete. A társaság egy amolyan „ablakos” borítékban küldött ki több tízezer tagjának egy elszámolást, de olyan szerencsétlenül, hogy volt akinek

a családtagjai óhatatlanul értesültek a rokonuk HIV-kezeléséről.
170824175326-aetna-reveals-customers-hiv-status-exlarge-169
Fotó: Aids Law Project of Pennsylvania

De a kibertámadások ellen mindenféle szolgáltatást kínáló Deloitte tanácsadócég egyik adminisztrátora is támadás áldozata lett, és a hekker bejutott a cég levelezésébe.

A világ legnagyobb bankjai, illetve nagyvállalatai remeghettek, hogy vajon milyen érzékeny auditálási, tanácsadási adatok szivárogtak ki illetéktelen kezekbe. Ha igazak a sajtóhírek akkor a Microsofots felhőszolgáltatásban tárolt levelekhez egyetlen jelszó megszerzésével lehetett bejutni, még kétlépcsős azonosításra sem volt szükség.