Immár bizonyossá vált, hogy SZÉP-kártyákkal kapcsolatos adatszivárgás történt. A yourbank.hu webes fizetési szolgáltató oldalán a Széchenyi Pihenőkártyával fizetett tranzakciók adatai, többek közt SZÉP-kártyával vásárlók e-mail címei váltak hozzáférhetővé a nyilvánosság számára, mivel nem alkalmaztak jelszavas védelmet ezen adatok védelmére. Bár kártyaszámok nem kerültek nyilvánosságra, azonban az e-mail címek illetéktelenek általi megszerzése is alkalmas arra, hogy ezzel adathalász támadást indítsanak a kártyabirtokosok ellen.
A fentiek alapján racionális és elvárható lenne azon személyek értesítése, akik a szivárgás által érintettek lehetnek, hogy e-mail címük cseréjével, a szolgáltató leváltásával vagy más módon meg tudják tenni a megfelelő intézkedéseket az esetleges károk enyhítése érdekében.
Itt érdemes felidézni azt, hogy az európai jogban a telekommunikációs szektorra nézve a 2009/136/EK számú irányelv vezetett be a szabályozást az adatsértési értesítésről. Ennek megfelelően elektronikus hírközlési szolgáltatók kötelesek bejelenteni a személyes adatok megsértését az illetékes nemzeti hatóság (pl. adatvédelmi hatóság) részére, továbbá az érintettek részére is, amennyiben az adatsértés várhatóan hátrányosan érintheti a magánszemély személyes adatait vagy magánéletét.
Magyarországon az adatsértési értesítést az egyes elektronikus hírközlési tárgyú törvények módosításáról szóló 2011. CVII. törvény vezette be. Eszerint adatsértési értesítési kötelezettség kizárólag az elektronikus hírközlési szolgáltatókat terheli. Bár az európai irányelv kifejezetten nyitva hagyta annak lehetőségét, hogy ezt a kötelezettséget a telekommunikációs szektorra vagy más iparágakra (bankokra, biztosítókra, közüzemi szolgáltatókra, etc) is kiterjesztik, sajnálatos módon új adatvédelmi törvényünk, az információs önrendelkezési jogról és információszabadságról szóló törvény sem teremtette meg itthon az ún. általános adatsértési értesítés (data breach notification) jogi hátterét. Ennek megfelelően az érintett SZÉP-kártya tulajdonosok, akiknek adatai kiszivárogtak, a szolgáltatójuktól feltehetőleg nem kapnak értesítést erről, továbbá az adatvédelmi hatóság is csak a hírekből szerez(het) tudomást arról, hogy biztonsági incidens történt.
Biztos, hogy jól van ez így? Magyarországon ne lenne létjogosultsága egy formalizált adatsértési eljárás bevezetésének például pénzügyi szolgáltatókra nézve? A napfényre jutott ügy pedig csak a jéghegy csúcsa, mivel az esetek java részében nem kerül sajtónyilvánosságra a szivárgás. (Erről adatvédelmi joggal foglalkozó ügyvédként jómagam is tudnék mesélni.)
Akit megnyugtatással tölt el: az európai adatvédelmi rendelet tervezete immár kifejezett rendelkezést rögzít az adatsértési értesítés általános, iparágtól független bevezetésével kapcsolatosan, melyre – az EU jogalkotás lassúságát figyelembe véve – pár évet még várni kell.
