Egyik ügyfelem értesítése alapján…
A napokban hívott fel egyik ügyfelem egy alábbi levél kapcsán melyet a szoftverüzemeltető cégétől kapott: „Értesítés adatvédelmi incidensről… Kedves Ügyfelünk! Ezúton tájékoztatjuk, hogy a XYZ Kft. által üzemeltetett bizonyos rendszereket érintő biztonsági incidens történt.”
A webáruházat üzemeltető cég a levélben tájékoztatást kapott az incidens részleteiről, úgymint:
- az eset időpontjáról,
- az érintett adatok kategóriáiról,
- a megtett intézkedésekről.
Ez alapján a szoftverüzemeltető cég már bejelentette az esetet a NAIH felé, továbbá a külső kiberbiztonsági és informatikai szakértők bevonásával haladéktalanul megkezdte a teljes körű kivizsgálást is.
Mi a webáruház-tulajdonos teendője ebben az esetben?
Az első feladat a biztonsági feltételek ellenőrzése, jelszócsere. Ezt követi a dokumentáció, melyet egy Incidens nyilvántartó naplóban rögzítünk. Ezt követi az érintettek értesítése.
Adatvédelmi szempontból fontos tisztázni, hogy az áruház vásárlói, felhasználói elsődlegesen a webáruháznak adták meg az adataikat. Ezért ebben az esetben ő az Adatkezelő. Az ő kötelessége értesíteni a felhasználóit. Mivel ismert a pontos dátum, s ez alapján lekérhető az adatbázis, így az érintetti lista is könnyen szűrhető. További fontos lépés ugyanis, hogy csak az érintetteket kell értesíteni, tehát azokat, akik aznap és adott időpontban vásároltak.
Miről kell értesíteni az érintetteket a webáruház tulajdonosának?
Az adatvédelmi incidens tényéről, az eset időpontjáról, az érintett adatok kategóriairól valamint a szükséges biztonsági intézkedésekről. E mellé egy javaslatot is megfogalmaztunk a levélben, mely szerint:
Elővigyázatosságból javasoljuk, hogy:
– mielőbb változtassa meg webáruházi fiókjához tartozó jelszavát
– ha máshol is ugyanazt vagy hasonló jelszót használ, azokat is módosítsa
– legyen körültekintő a gyanús e-mailekkel, telefonhívásokkal és bejelentkezési kísérletekkel kapcsolatban
– figyelje fiókjait és rendeléseit szokatlan tevékenység szempontjából.
Ezek a legfontosabb teendők egy adatvédelmi incidens esetén.
foto:https://ebpb.europa.eu