Nincs olyan adatkezelő, aki ne szembesült volna már adatvédelmi incidenssel, azaz például a személyes adatok elvesztésével, vagy jogosulatlan személy részére történő átadásával. Ilyen esetekben kiemelt jelentőséggel bír az adatvédelmi incidens gyors felismerése, szakszerű kezelése és a jogszabály által előírt kötelezettségek szák határidőn belül történő kezelése. A gyors reagálás akár pénzben kifejezhető előnnyel járhat. Mit kell ilyen helyzetekben tenni? Lássuk röviden:
Mi az adatvédelmi incidens?
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi incidens például az az eset, amikor egy zsarolóvírus támadás eredményeként az adatkezelő (pl. egy munkáltató) nem fér hozzá az általa kezelt személyes adatokhoz, mert azok megsemmisültek vagy elvesztek.
Be kell jelenteni az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) részére?
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott köteles bejelenteni a NAIH részére. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
Van kivétel a bejelentési kötelezettség alól?
Nem kell bejelenteni az adatvédelmi incidenst a NAIH-nak, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatkezelőnek ezért az adatvédelmi incidens észlelésekor több szempont (pl. érintettek köre; érintett személyes adatok köre, száma, és jellege; kiskorúak érintettsége stb.) vizsgálatával kockázatértékelést kell végeznie és ez alapján döntenie kell arról, hogy az adatvédelmi incidens kockázatot jelent-e a természetes személyek jogaira és ezáltal be kell-e jelentenie a NAIH-nak. A kockázatértékelést javasolt dokumentálni annak érdekében, hogy szükség esetén igazolni tudja az adatkezelő a NAIH felé, hogy miért nem jelentette be az incidenst.
FONTOS, hogy az adatvédelmi incidenst főszabály szerint be kell jelenteni a NAIH-nak legkésőbb 72 órán belül. Kivételes eset, amikor az incidens nem jelent semmilyen kockázatot az érintettekre nézve és ezért nem kell bejelenteni a NAIH-nak.
Hogyan teljesíthető a bejelentés a NAIH részére?
Elektronikus úton (pl. hivatali tárhelyen, vagy cégkapu, ügyfélkapu birtokában e-Papír szolgáltatáson keresztül) nyújtható be gazdálkodó szervezetek esetén a NAIH által rendszeresített nyomtatvány kitöltésével és benyújtásával. A formanyomtatvány elérhető a NAIH weboldalán: (https://naih.hu/ugyinditas-formanyomtatvanyok)
Az adatvédelmi incidens a NAIH Incidensbejelentő Rendszerén keresztül online is bejelenthető. Az incidensbejelentő rendszer elérhetősége: https://naih.hu/adatvedelmi-incidensbejelento-rendszer.
Szükséges az érintettek értesítése, akiknek a személyes adata az incidenssel megsemmisült vagy elveszett?
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább az alábbi információkat és intézkedéseket.
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Minden esetben értesíteni kell az érintetteket az adatvédelmi incidensről?
Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha a következő feltételek bármelyike teljesül:
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Milyen egyéb kötelezettségei vannak az adatkezelőnek?
Az adatkezelőnek az adatvédelmi incidensekről nyilvántartást kell vezetnie. A nyilvántartásban fel kell tüntetni az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. A nyilvántartást meg kell őrizni, tárolni, a NAIH kérésére be kell mutatni, illetve másolatát a NAIH rendelkezésére kell bocsátani. A nyilvántartás bármilyen formában vezethető (papír alapon és elektronikusan is).
Fontos, hogy minden adatvédelmi incidenst nyilván kell tartani, azt is, amelyet az adatkezelő kockázatértékelést követően nem jelentett be a NAIH-nak és azt is, amelyről nem értesítette az érintetteket.
Amennyiben az adatvédelmi incidens kezelésében segítségére lehetek, vegye fel velem a kapcsolatot!