CLVPartners

CLV-02
Menu

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok

Adatvédelem, Hírek / / Adatvédelem, Adatvédelmi incidens, GDPR, NAIH

A technológiai fejlődéssel párhuzamosan számos olyan eszköz és módszer is megjelent, melyek célja a személyes adatokhoz való jogosulatlan hozzáférés szerzése. Bár a kibertámadásokhoz használt eszközök egyre fejlettebbek, a személyes adatokat továbbra is leginkább az emberi mulasztás és a figyelmetlenség veszélyezteti leginkább. Az Európai Unió 2016/679 számú rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében, ezek betartása elengedhetetlen a személyes adatok védelmének és az adatbiztonság megfelelő érvényesülése érdekében. A GDPR előírásokat tartalmaz arra vonatkozóan is, hogyan kell az adatkezelőknek eljárniuk egy adatvédelmi incidens esetén. Jelen cikkünkben az adatvédelmi incidensekkel kapcsolatos legfontosabb tudnivalókat foglaljuk össze.

Adatvédelmi incidens fogalma

A személyes adatok kezelése során az adatkezelőnek a GDPR -ban meghatározott intézkedéseket kell megtenniük, melyekkel biztosítják adatkezelésük biztonságát. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ahhoz, hogy egy sérülést incidensnek tekintsünk, az adatbiztonság sérülésének olyan mértékűnek kell lennie, hogy az érdemi kockázatot jelentsen a személyes adatok védelmére nézve. Az adatkezelőknek szükséges tisztában lenniük azzal, hogy nemcsak a személyes adatok elvesztése jelent adatvédelmi incidenst. Az adatvédelmi incidensek közé tartoznak:

  • Bizalmassági incidensek, melyek egyrészt a személyes adatok jogosulatlan közlésével valósulhatnak meg (pl.: egy téves címzettnek küldött e-mail, vagy ha személyes adatokat tartalmazó dokumentumok mentése nem megfelelő helyre történik, ezáltal megosztásra kerülhet egyébként hozzáférésre nem jogosult személlyel – aki akár a társaság más munkavállalója is lehet). Ugyanakkor bizalmassági incidenst szándékos magatartásból fakadó tevékenység is előidézhet (pl.: adathalász támadások révén történő jogosulatlan hozzáférés).
  • Integritási incidensek, melyek akkor következnek be, ha a kezelt személyes adatok megváltoznak (pl.: ha a könyveléshez – akár jogosultsággal rendelkező, akár jogsértést elkövető – hozzáférő személy átírja a fizetéseket, vagy az adatbázist oly módon törik fel, hogy személyes adatokat törölnek belőle).
  • Elérhetőségi incidensek melyekről a kezelt adat megsemmisülése (akár véletlen törlés, vagy ideiglenes szerverleállás által) valamint az adatokhoz való hozzáférés elvesztése esetében beszélünk (pl.: az ügyféladatbázis példányát tartalmazó laptop vagy adattároló elvész, vagy ellopják).

Összefoglalva, adatvédelmi incidensnek minősül, ha személyes adatokhoz illetéktelenül hozzáférnek, azokat engedély nélkül továbbítják, vagy ha azok elérhetetlenné válnak például zsarolóprogram általi titkosítás, véletlen elvesztés vagy megsemmisülés következtében.

Adatvédelmi incidensek következménye

Az adatvédelmi incidensek, amennyiben nem kezelik megfelelően és időben, súlyos fizikai, vagyoni vagy nem vagyoni kárt okozhat az érintett személyeknek. Ilyen következmény lehet például a pénzügyi veszteség, személyazonosság-lopás, jó hírnév sérelme, illetve a bizalmas adatok nyilvánosságra kerülése. Ezen felül az adatvédelmi incidenseknek az ügyfelek társaságba mint adatkezelőbe vetett bizalmának csökkenését, a nem megfelelő kezelésük pedig hatósági szankciót is vonhatnak maguk után.

Adatvédelmi incidensek bekövetkezése esetén követendő eljárás

Tekintettel arra, hogy az adatvédelmi incidenseknek igen súlyos következményei lehetnek, az adatkezelőnek az incidensről való tudomásszerzése esetén kötelezettsége, hogy a GDPR-ban foglaltak szerint kezelje a kialakult helyzetet. Ehhez azonban szükséges, hogy aki észleli, haladéktalanul jelentse a kijelölt adatvédelmi felelős részére. Ennek eljárásrendjét érdemes belső szabályzatban rögzíteni.

Incidensek nyilvántartása

A GDPR értelmében az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Incidensek bejelentése

Az adatvédelmi incidenseket az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak („NAIH”). Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat.

A bejelentéshez a NAIH, egy a honlapján elérhető formanyomtatványt is biztosít, melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő elektronikus úton (pl.: hivatali tárhelyen, vagy e-Papír szolgáltatáson) keresztül nyújthat be.

A bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • illetve az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Végül de nem utolsó sorban a bejelentésnek tartalmaznia kell az incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolatát.

A bejelentést csupán az úgynevezett „bagatell” incidensek esetében lehet mellőzni. Ilyen incidensnek minősül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, de a bekövetkezett incidenst ebben az esetben is rögzíteni kell a nyilvántartásban.

Érintettek tájékoztatása

Amennyiben feltehető, hogy az adatvédelmi incidens magas kockázattal jár az érintettek számára, az adatkezelőnek erről késedelem nélkül kell tájékoztatnia az egyéneket. Ennek az intézkedésnek az a célja, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket (pl. személyazonosító igazolvány ellopásának bejelentése, bankkártya zárolása).

A kockázatok értékelését minden incidens során egyedileg kell elvégezni. A folyamat során olyan szempontokat kell figyelembe venni, mint a személyes adatok típusa (pl.: különleges adat) és mennyisége, érintettek száma, érintettek azonosíthatóságának lehetősége.

A magas kockázattal járó adatvédelmi incidensről abban az esetben nem kell tájékoztatni az érintetteket, ha:

  • a személyes adatok olyan módon vannak titkosítva, amely értelmezhetetlenné teszi az adatokat;
  • az adatkezelő időközben megfelelő védelmi intézkedéseket hajtott végre;
  • vagy az tőle aránytalan erőfeszítést igényelne. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)

Összegzés

Az adatvédelmi incidensek tehát az adatbiztonság igen tág körű módon meghatározott sérülését jelenti. Az incidensek bekövetkezésének komoly vagyoni, illetve nem vagyoni károkat tudnak okozni az érintettek számára, a nem megfelelő módon történő kezelésük pedig akár több millió forintos pénzbírság kiszabását is eredményezhetik. Az adatkezelőknek kötelezettsége, hogy már az adatkezelésük során biztosítsák a személyes adatok védelmét. Elsősorban tehát érdemes a megelőzésre törekedni. A megfelelően kivitelezett biztonsági intézkedések (pl.: jogosultsági rendszerek kiépítése, jelszavak és eszközök megfelelő védelme) alkalmasak lehetnek az incidensek bekövetkezésének megakadályozására. Ezek meghatározására és betartására célszerű előzetesen belső eljárásrendeket és akcióterveket készíteni és rendszeres időközönként felülvizsgálni, valamint az adatkezelésben érintett személyek (pl. munkavállalók) részére megfelelő időközönként adatvédelmi képzést tartani. A konkrét adatvédelmi incidens bekövetkezésekor pedig ajánlott szakértőt bevonását is igényelni, tekintettel a formalizált hatósági eljárás speciális szabályaira, illetve az egyedi mérlegelés szükségességére.

Kép forrása: pixabay, pexels.com

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.