Adatvédelmi incidens a gyakorlatban
A május 25-étől hatályban lévő és hazánkban is kötelezően alkalmazandó új Adatvédelmi Rendelet (továbbiakban: GDPR) meghatározza az adatvédelmi incidens fogalmát, valamint szabályozza azokat az eseteket, amelyekben az adatkezelőknek kötelességük bejelenteni az adatvédelmi incidens megtörténtét az illetékes felügyeleti hatóság felé. Ez a felügyeleti szerv Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH).
A GDPR fogalom meghatározása alapján „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
1. Mi lehet adatvédelmi incidens a gyakorlatban?
Az adatvédelmi incidens nem más, mint a személyes adatok integritásának a sérülése. A GDPR fogalom meghatározása alapján ez viszonylag tág kategória; adatvédelmi incidens lehet egy informatikai rendszer megtámadása, adatszerzés illetéktelenek által, de ide sorolható akár egy rossz helyre elküldött e-mail vagy egy személyes adatokat tartalmazó laptop elvesztése, valamint bármely személyes adatot tartalmazó adathordozó ellopása is.
2. Milyen következményekkel járhat egy adatvédelmi incidens?
Az adatvédelmi incidens kellő idejű és megfelelő intézkedés hiányában vagyoni és nem vagyoni károkat is okozhat a természetes személyeknek. Ilyen kár lehet például:
- a személyazonosság-lopás, személyazonossággal való visszaélés;
- jó hírnév sérelme;
- álnevesítés engedély nélküli feloldása;
- pénzügyi veszteség;
- hátrányos megkülönböztetés;
- személyes adataik feletti rendelkezés elvesztése vagy a jogaik korlátozása;
- egyéb gazdasági vagy szociális hátrány; valamint
- a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének a sérülése.
3. Incidens után
A súlyos következményekre tekintettel nélkülözhetetlen az incidens megelőzése, azonban ha már bekövetkezett, fontos, hogy minél rövidebb időn belül történjenek meg az intézkedések az adatok védelme érdekében. Az adatvédelmi incidens megtörténte után mindent meg kell tenni annak érdekében, hogy mérsékeljük a veszteséget és megelőzzük a további károkat.
Ilyen intézkedés lehet egy rendszer helyreállítása, esetleges elszigetelése, valamint a korábbi biztonsági mentések és másolatok használata.
4. Milyen kötelezettségek vonatkoznak az adatkezelőkre?
A GDPR 33. cikke rögzíti, hogy az adatkezelő az adatvédelmi incidenst indokolatlan késedelem nélkül, de legkésőbb a tudomására jutástól számított 72 órán belül köteles bejelenteni a felügyeleti hatóságnak. Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozónak szintén kötelezettsége a tudomására jutott adatvédelmi incidenst haladéktalanul bejelenteni az adatkezelőnek.
A bejelentésben legalább:
- ismertetni kell az incidens jellegét, az érintettek kategóriáit és lehetséges számát – amennyiben ismert;
- közölni kell az adatvédelmi tisztviselő vagy egyéb kapcsolattartó nevét, elérhetőségét;
- ismertetni kell a valószínűsíthető következményeket; valamint
- fel kell tüntetni az orvoslásra tett és tervezett intézkedéseket is.
Az adatkezelőnek továbbá az adatvédelmi incidensekről nyilvántartást kell vezetnie, amelyben fel kell tüntetnie az incidenseket, az ahhoz kapcsolódó tényeket, az incidensek hatását és az orvoslásra tett intézkedéseket.
Abban az esetben, amikor az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet is az adatvédelmi incidensről. Az érintettet nem kell értesíteni, ha az adatkezelő megtette a szükséges intézkedéseket, például a titkosítás révén értelmezhetetlen másoknak az adat, vagy olyan intézkedéseket tett, amelyek megszüntették a kockázatot.
5. Tippek az adatvédelmi incidens kezelésére
Figyelembe véve az incidens lehetséges következményeit, – azok súlyát és komplexitását – az adatkezelők tekintetében fontos a gyors reakció, valamint a további károk enyhítésére tett intézkedések hatékonysága. Egy adatvédelmi incidens bármelyik adatkezelő esetében előfordulhat, ezért szükséges minél több biztonsági és megelőző intézkedést tenni az incidensek elkerülése érdekében.
Ilyen felkészülés lehet például:
- az adatfeldolgozókkal kötött szerződések áttekintése;
- átgondolt incidenskezelési terv elkészítése;
- egy esetleges incidens bekövetkezése esetén a szükséges lépések megtervezése; valamint
- az elfogadott tervek ismertetése az érintettekkel.
Amennyiben elkerülhetetlenek a káros következmények, úgy azokat a leghatékonyabban és leggyorsabban mérsékelni kell, a lehetséges további károk lehetőségét csökkenteni, hibaelhárítást végezni; és nem utolsó sorban tájékoztatni a felügyeleti hatóságot és az érintett természetes személyt abban az esetben, amennyiben magas kockázattal jár jogaira és szabadságára nézve.
dr. Kőhidi Ákos, dr. Dobos István, dr. Miklós Péter, Tóth Eszter
Dobos – Kőhidi Ügyvédi Társulás [Budapest – Győr]
office@doboskohidi.eu
36 30 586 61 62 vagy 36 30 308 81 51