További Biztonság cikkek
Az IT.café egy adatvédelmi szakértőt kérdezett meg a veszprémi Pannon Egyetemen történt adatlopással kapcsolatban, aki elmondta, hogy bár vizsgálni kell a rendszergazdák felelősségét és a károkozó motivációját, az egyetem is felelős a történtekért, kivéve, ha az adatok elháríthatatlan külső ok miatt kerültek nyilvánosságra.
A héten egy olyan súlyos adatvédelmi ügyről számoltunk be, ami remekül rávilágított arra, hogy a veszprémi Pannon Egyetem felkészületlen az ilyen események kezelésére. Az nyilatkozó mértékadó biztonságtechnikai szakemberek is arra hívták fel a figyelmet, hogy a digitalizáció miatt az adatkezelési incidensek, hiányosságok ma már nálunk is éppoly gyakoriak, mint nyugaton, ám nálunk még nem megoldott a probléma kezelése.
A történtek kivizsgálására mind az egyetem, mind a rendőrség (saját hatáskörben, a sajtóhírek alapján) eljárást indított. Az esemény megítélését a vizsgálatok eredménye természetesen alapvetően befolyásolhatja, ám bizonyos lehetséges jogi következmények megkérdőjelezhetetlenek, mivel az nyilvánvaló, hogy komoly törvénysértés történt. Épp ezért az IT.café megkeresett egy adatvédelmi szakértőt, dr. Simon Évát, a Társaság a Szabadságjogokért (TASZ) jogvédő szervezet programvezetőjét, hogy arról kérdezze: az eddigi információk alapján milyen lehetséges jogi forgatókönyvek képzelhetőek el, milyen típusú felelősségek merülhetnek fel, azok a hallgatók, akiknek az adatai potenciális veszélybe kerültek, milyen jogorvoslati lehetőséggel élhetnek.
Simon Éva elmondta, hogy az eset pontos megítélésére egyelőre nincs elegendő információ, nem mindegy ugyanis, hogy rendszerhiba okozta az adatszivárgást, emberi mulasztás következtében történt, esetleg szándékos károkozás volt-e a cél. Ennek a kiderítése a rendőrség, illetve a bíróság feladata.
Ám az elkövetőtől függetlenül persze az egyetemi hallgatók személyes adatok védelméhez fűződő joga mindenképpen sérült - hangsúlyozta Simon Éva. Azt tehát nem lehet megmondani, hogy kit és miért fognak felelősségre vonni, de általánosságban kijelenthető, hogy a büntető törvénykönyv szabályai szerint az, aki az adatok biztonságát szolgáló intézkedést elmulasztja, és ezzel jelentős érdeksérelmet okoz, akár egy évig terjedő szabadságvesztéssel büntetendő. Ha ezt valaki jogtalan haszonszerzés miatt teszi, akkor akár három évig terjedő szabadságvesztésre is számíthat.
Más szemszögből nézve viszont teljes biztonsággal kijelenthető, hogy az adatkezelőnek, aki ebben az esetben az egyetem, mindenképp fennáll a felelőssége. Az adatvédelmi törvény ugyanis kimondja, hogy az adatokat védeni kell, különösen a jogosulatlan hozzáférés, továbbítás, nyilvánosságra hozatal ellen.
A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az egyetemnek, a rendszergazdának és a hírközlési vagy informatikai eszköz üzemeltetőjének, mert a személyes adatok továbbítása hálózat útján történik. Vagyis bármilyen módon is történt az adatszivárgás, az egyéb lehetséges vétkesek mellett az intézmény mindenképpen felelősséggel - mégpedig adatkezelőként a rendszergazdáénál jelentősen komolyabb felelősséggel - tartozik a történtekért.
Simon Éva külön kiemelte, hogy természetesen a diákok maguk is tehetnek büntetőfeljelentést az adatok kezelője ellen, illetve fordulhatnak az adatvédelmi biztoshoz is, hogy vizsgálja ki az ügyet. Az is jogukban áll, hogy pert indítsanak az adatkezelő, az egyetem ellen, s amennyiben bizonyítást nyer, hogy sérelmet szenvedtek, akkor az egyetem köteles az esetlegesen okozott kárt megtéríteni.
A felelősségre vonás alól csak akkor mentesülhet az egyetem, ha az adatok elháríthatatlan külső ok miatt kerültek nyilvánosságra (hogy mi számít elháríthatatlan külső oknak, azt a bíróság ítéli meg, de egy rendszergazdai hanyagság semmiképpen sem az, ahogyan egy biztonsági rést kihasználó támadás sem minősíthető ilyennek). Ha a diákok az adatvédelmi biztoshoz fordulnak, és ő jogellenes adatkezelést észlel, akkor akár zárolhatja vagy töröltetheti is az adatokat.
Kövesse az Indexet Facebookon is!
Követem!
