- Mi az adatvédelmi incidens?
A GDPR fogalom meghatározása alapján adatvédelmi incidens a ,,biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.” Adatvédelmi incidens következik be például akkor,
- amikor az adatkezelő cégtulajdonos laptopját, mobiltelefonját elhagyja és az ügyfélnyilvántartása ennek következtében elveszik;
- zsarolóvírus kerül a számítógépére, amely megsemmisíti a tárolt személyes adatokat;
- a biztonságosan titkosított adatokhoz tartozó visszafejtő kulcsot elveszíti, így nem tud hozzájuk férni;
- jelszavát megosztja másokkal, ami következtében hozzáférésre nem jogosult személyek beléphetnek a személyes adatot tároló nyilvántartásokba;
- asszisztens ellopja a munkavállalók adatait tartalmazó pendrive-ot és megosztja őket az interneten;
- több címzettnek szánt elektronikus levelezés során a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, így jogosulatlanul megtudják egymás e-mail címét.
- A bejelentési kötelezettség
Az adatkezelőnek az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az illetékes felügyeleti hatóságnak, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha az adatkezelő később tesz eleget ennek a feladatának, indokolnia kell a késését. A bejelentés megtehető postai, illetve elektronikus úton, a hatóság bejelentő felületén (https://dbn-online.naih.hu/public/login), illetve e-mail formájában, az ugyfelszolgalat@naih.hu címre küldve, melyhez a NAIH honlapjáról (http://naih.hu/adatvedelmi-incidensbejelent–rendszer.html) lehet letölteni a bejelentő formanyomtatványt.
- Mikor nem kötelező a bejelentés megtétele?
Mindig az adatkezelő kötelezettsége az incidens feltárása során az incidens érintettre gyakorolt hátrányos hatásainak feltérképezése és ez alapján annak mérlegelése, hogy be kell-e jelenteni azt a hatóságnak vagy sem. Ha tudja bizonyítani, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor nem köteles bejelentést tenni.
- Bejelentés kötelező tartalmi elemei
Az incidens bejelentésekor az adatkezelőnek ismertetnie kell a hatósággal:
- az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. Ide tartozhat például az, ha riasztórendszert tervez beüzemelni az adatkezelő.
- Közölnie kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit.
Ha az adatkezelő számára nem lehetséges, hogy a felsorolt információkat egyszerre közölje a hatósággal, akkor lehetősége van ezt később, indokolatlan késedelem nélkül, részletekben megtenni. Ugyanakkor lehetőség van részbejelentésre akkor is, ha az adatkezelőnek még nem áll rendelkezésére minden információ az incidenssel kapcsolatban, azonban a bejelentés nem késlekedhet.
A bejelentés mellett az adatkezelőnek, az elszámoltathatóság elvének megfelelően, nyilvántartást is kell vezetnie, amelyben rögzítenie kell az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. Fontos megjegyezni, hogy az incidenssel érintettek személyes adatait a nyilvántartás nem tartalmazhatja.
- Az érintettek tájékoztatása
A hatóságon kívül az érintetteket is értesítenie kell az adatkezelőnek, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a jogaikra és szabadságaikra nézve. A következő információkat kell közölnie velük, közérthetően és világosan:
- az incidens jellegét;
- az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Nem kell tájékoztatni az érintetteket a következő esetekben:
- ha az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, főleg azokat az intézkedéseket – mint például a titkosítás, anonimizálás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ekkor az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Az érintettek tájékoztatását a hatóság is elrendelheti az adatkezelő számára, miután mérlegelte, hogy az incidens valószínűsíthetően magas kockázattal jár-e.
Amennyiben az adatkezelő incidenskezelési szabályzattal rendelkezik, dokumentálnia kell, hogy annak rendelkezéseit betartva folytatta le az incidens kivizsgálását.