Adatvédelmi alapozó #10// Adatvédelmi incidens

Ahhoz, hogy tudjunk az incidensről és a kezeléséről bármit is, először szükséges tisztázni, hogy mit is nevezünk incidensnek.

Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon
kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,
jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Tehát:

  • személyes adatot kell érintenie az incidensnek;
  • a biztonság sérüléséből kell adódnia;
  • megvalósul az eredmény [a személyes adatok véletlen vagy jogellenes
    megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az
    azokhoz való jogosulatlan hozzáférés];

Nézzünk rá példákat:

  • ha az adatkezelő alkalmazottja véletlenül törli a személyes adatot, vagy ha egy nem megfelelően frissített szoftver hibájából adódóan törlődik
  • egy félresikerült szoftver frissítés törli a személyes adatokat
  • egy ismert sérülékenységet kihasználva rosszindulatú külső támadó törli a személyes adatokat

Mik a teendőink az adatvédelmi incidensekkel?

1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb
72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti
hatóságnak
, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes
személyek jogaira és szabadságaira nézve.

Az adatvédelmi incidens bejelentést az adatkezelő a NAIH által erre a célra fenntartott elektronikus
felületen tudja bejelenteni.

A GDPR 33. cikk (1) bekezdése értelmében, ha az adatvédelmi incidens valószínűsíthetően
nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor az adatvédelmi
incidenst nem kell bejelenteni a felügyeleti hatóságnak. Például, ha az adatkezelőtől a személyes
adatok megfelelően erősen titkosított formában, álnevesítve kerültek ki és létezik biztonsági mentés,
amelyből az adatok visszaállítható, akkor az incidens valószínűsíthetően nem hordoz kockázatot az
érintett magánszférájára nézve.

2. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira
és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az
adatvédelmi incidensről
. GDPR 34. cikk (2) bekezdés részletezi milyen tartalommal szükséges ezt megtenni.

3. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez
kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé
teszi, hogy a felügyeleti hatóság ellenőrizze a GDPR követelményeinek való megfelelést.
A nyilvántartási kötelezettség valamennyi adatvédelmi incidensre kiterjed, függetlenül annak
kockázataitól.

Ha az adatkezelő nem teljesíti a fent említett kötelezettségeit, akkor a felügyeleti hatóság
gyakorolhatja a GDPR-ban meghatározott korrekciós hatásköreit, amely magába foglalja annak a
lehetőségét is, hogy közigazgatási bírságot szab ki. A bírság mértéke legfeljebb 10 millió euró, illetve
a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át
kitevő összeg; a kettő közül a magasabb összeget kell kiszabni.

Ha tisztában vagy a fogalmakkal és folyamatokkal, akkor a hatályos rendeletek szerint és a NAIH honlapján közzétett szakmai anyagokkal tudod kezelni az adatvédelmi incidenseidet.

Azonban, ha a következő kérdés is már elbizonytalanít, gyanús esetek tapasztalásakor érdemes szakember tanácsát kérni a legrövidebb határidővel: Ha egy webáruház megrendelésénél téves email címre mennek ki az adatok, az vajon incidensnek minősül- e?

ICSA