Megbízónk egy szolgáltatási szektorban működő külföldi tulajdonosi hátterű társaság, amely a karácsonyi ünnepeket közvetlenül megelőzően azzal keresett fel bennünket, hogy tevékenysége során első alkalommal - vélelmezhetően - adatvédelmi incidens merült fel nála. Az incidens abban állt, hogy a társaság informatikai rendszeréből kéretlen körlevél került kiküldésre a cég adatbázisában fellelhető ügyfelek számára, azok rendszerben tárolt e-mail címeire. Az adatvédelmi incidens felismerését (beazonosítását) követően annak informatikai feltárását, kezelését, illetve a betolakodók elszigetelését és rendszerből való kizárását a társaság haladéktalanul megkezdte, irodánkhoz pedig az incidenssel kapcsolatos jogszabályi kötelezettségei teljesítéséhez szükséges lépések tekintetében tanácsadásért fordult, illetve kérte az azokban való operatív közreműködésünket is.
A társaság működése döntően informatikai szolgáltatásokon alapul, ezért a rendszerbe való betörés és annak felszámolása idején a társaság számára nem volt egyértelműen megállapítható a behatolók által elért és megszerzett adatok teljes köre, így az incidens mértéke sem.
A cég Irodánk közreműködésével a rendelkezésre álló 72 órás határidőben haladéktalanul teljesítette a hatóság irányába az őt terhelő bejelentési kötelezettségét, majd az informatikai vizsgálatok előrehaladtával folyamatosan teljesítette adatszolgáltatási kötelezettségét a hatóság felé. A hatóság vizsgálatot indított, melynek keretében az e területre jellemző kifejezetten rövid határidővel az incidens informatikai jellege, a
Megbízó által használt informatikai rendszer sajátosságai, az incidens kivizsgálása, kezelése, valamint a cégnél érvényben lévő adatvédelmi szabályozók és folyamatok tekintetében részletes tájékoztatás megtételére hívta fel a céget. Az adatvédelmi incidens megfelelő kezelése mind informatikai, mind szervezetrendszeri és jogi oldalról gyors és határozott válaszokat kíván meg, amely a cégvezetés, az informatikai osztály és a jogi szakértő nagyfokú és hatékony kooperációját igényli. Jelen esetben az informatikai vizsgálatok előrehaladtával, illetve azok lezárása során megállapítást nyert, hogy a Megbízó sikerrel izolálta a támadókat és a társaság által kezelt személyes adatok biztonsága minimálisan sérült, lényeges személyes adatok nem kompromittálódtak, ezért a hatóság további lépések megtételére nem kényszerült.
