Kibertérben lebegő adatok – adatlopás a digitális lehetőségek kihasználásával

Dr. Kuti Dóra Katalin, a bpv JÁDI NÉMETH Ügyvédi Iroda munkatársának szakcikke

A vállalatok sok adatot tartanak nyilván rólunk, ezekhez a GDPR alapján jogunk van hozzáférni, a hozzájárulásunkat visszavonni, vagy akár kérni a rólunk kezelt adatok megsemmisítését. Hogy megtudjuk, pontosan milyen adatokat őriz rólunk egy cég, a GDPR alapján bármikor ún. adatszolgáltatási kérelmet nyújthatunk be. Az adatkezelők komoly, akár milliós bírságokat kockáztatnak, ha nem válaszolnak időben, ezért Európa-szerte az a helyzet van kialakulóban, hogy az érintett cégek a GDPR megfelelés érdekében a kérelmeknek minél gyorsabban eleget tesznek, de a tempónak ára van. A tapasztalatok ugyanis azt mutatják, hogy az adatkezelők az általuk kezelt teljes adatkör kiadásához a kérelmezőktől ügyfélazonosítási célból sokszor csak olyan azonosító adatokat kérnek be, amelyek az interneten kis kereséssel bárki számára könnyen megtalálhatók.

Dr. Kuti Dóra Katalin, a bpv JÁDI NÉMETH Ügyvédi Iroda munkatársa

Mindennek súlyos következménye is lehet, mégpedig, hogy illetéktelenek éppen a GDPR zászlója alatt lophatnak játszi könnyedséggel személyiségeket. Egyszerű internetes keresés eredményeképpen ugyanis legtöbbünkről elérhető hivatalos nevünk, e-mail címünk, lakcímünk és a telefonszámunk. Ezen adatok pedig sajnos elegendők lehetnek ahhoz, hogy egy megkeresett szervezet teljesítse a hozzá érkező adatszolgáltatási kérelmet, sőt akár legérzékenyebb adatainkat is kiadja. Komoly visszhangot kapott nemrég, hogy egy lelkes adatvédő, aki pár adattal ’igazolva magát’ sikeresen ki tudta kérni az adatkezelőktől a menyasszonya társadalombiztosítási számát, születési idejét, anyja leánykori nevét, az adott cégeknél használt jelszavait, korábbi lakcímeit, korábbi utazásait, középiskolás érdemjegyeit, sőt, hitelkártya adatait, és azt is, hogy regisztrált egy társkereső oldalra.

A megkeresett vállalatok kétharmada elegendő információval látta el ahhoz, hogy kiderítse, van-e a menyasszonyának regisztrált fiókja az adott vállalatnál. A megkeresettek negyede anélkül adott ki szenzitív adatokat, hogy igyekezett volna körültekintően megbizonyosodni a kérelmező személyazonosságáról, további 15 százalékuk pedig csak olyan adatokat kért az azonosításhoz, amelyek egyszerű internetes kereséssel is könnyedén rendelkezésre álltak. Komolyan fennáll a veszélye tehát annak, hogy kíváncsi szemek éppen a GDPR-ra hivatkozva személyes adataink – akár egészségügyi információink, vagy hitelkártya-adataink – birtokába juthatnak és azokkal visszaélhetnek.

A bírságtól való félelem ide vagy oda, a cégeknek sokkal nagyobb hangsúlyt kellene fektetniük azoknak az adatoknak meghatározására, amelyek segítségével az adatkérőket valóban beazonosítják, és az elvektől, szabályzatoktól függetlenül a gyakorlatban is jobban kellene védeniük személyes adatainkat.