Szakmai blog

Adatvédelmi incidens bejelentése a GDPR alapján

2018-02-09 | Adatvédelem

Adatvédelmi incidens bejelentése a GDPR alapján

Az Európai Unió új Adatvédelmi Rendelete szigorú szabályokat ír elő az adatvédelmi kötelezettségek megszegése esetére.


Mi az az adatvédelmi incidens?

A GDPR szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens esetén a rendelet arra kötelezi az adatkezelőt, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül, ha lehetséges legkésőbb 72 órán belül bejelentsék a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságára nézve.   Ha ez nem lehetséges, akkor meg kell indokolni a késedelmet a felügyeleti hatóságnak.

Abban az esetben, ha az incidens valószínűsíthetően magas kockázattal jár, indokolatlan késedelem nélkül tájékoztatni kell az érintetteket. Az adatfeldolgozónak értesítenie kell az adatkezelőt. A felügyelő hatóság és az érintett értesítésének a rendeletben pontosan meghatározott információkat kell tartalmaznia.

Mentesülés az értesítési kötelezettség alól

A GDPR bizonyos körülmények fennállása esetén mentesülést biztosít az érintettek értesítésének kötelezettsége alól.  Így például:

  • ha az adat titkosítva volt és értelmezhetetlen a jogosulatlanul hozzáférő számára,
  • vagy valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságára nézve,
  • vagy ha az értesítés aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása).

Az adatsértés bejelentése

Az adatvédelmi incidens bejelentéséhez is külön követelményeknek kell megfelelniük az adatkezelőknek. Ez a dokumentáció azt a célt szolgálja, hogy a felügyelő hatóság ellenőrizni tudja a szabályoknak való megfelelést.

A bejelentésben legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az EU szakosított ügynöksége, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást fogalmazott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg az adatvédelmi incidens súlyosságát.

Az adatvédelmi incidens súlyossága értékelésének fő szempontjai:

  • Az Adatkezelési Környezet vizsgálata: a megsérült adatok fajtáját kell megvizsgálni, beleértve az adatkezelés valamennyi körülményét,
  • Az Azonosíthatóság Mértékét is meg kell határozni, melynek lényege annak feltárása, hogy az adatvédelmi incidenssel érintett adatokból mennyire könnyen lehetséges az érintettek azonosítása
  • Sérülés Körülményeinek leírása: meg kell vizsgálni a sérülés körülményeit, elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és a szándékosságra utaló valamennyi jelet.

Az ENISA ajánlása ezen túl segítséget nyújt az incidensben érintett adatok típusának meghatározásában, a veszély súlyosságának megállapításában és az eset körülményeinek feltárásában. A vizsgálat eredményeként az adatvédelmi incidens súlyosságát alacsonyközepesmagas vagy nagyon magas kategóriákba sorolhatjuk.

Bejelentési terv

Az adatvédelmi szabályoknak való megfelelés érdekében az adatkezelőknek készíteniük kell egy ún. adatvédelmi incidens bejelentési tervet, amely több célt is szolgál. A legfontosabb, hogy ez alapján, incidens esetén azonnal cselekedni tudjanak az adatsértés mihamarabbi bejelentését és az érintett tájékoztatását illetően. Ez azt is megköveteli, hogy specifikus feladatokat és felelősségi köröket jelöljenek ki a vállalaton belül, valamint dolgozói tréningeket és felkészítést tartsanak.

Ez alapján kijelöli azt a személyt, akinek az adatsértés vizsgálatát kell végeznie, továbbá felelős az incidens rögzítéséért és a megfelelő intézkedések megtételéért. Fontos megjegyezni azonban, hogy mivel a GDPR csak május 25-től lesz alkalmazandó, ezért nincs még kialakult joggyakorlat, ennek köszönhetően egyelőre csak a rendelet szövegéből indulhatunk ki.

Nemzeti Adatvédelmi és Információszabadság Hatóság feladata lesz, hogy legkésőbb 2018. májusáig elkészítse az adatvédelmi incidensek bejelentésére szolgáló felületet, formanyomtatványt, esetlegesen egy általa elfogadott értékelési módszertant.

Új kiberbiztonsági szabályok 2026-tól

2026-01-09
Új kiberbiztonsági szabályok 2026-tól

A jogalkotó elfogadta a 2025. évi CXXXV. módosító törvényt, amely alapvető változásokat vezet be a magyar kiberbiztonsági szabályozásban. A módosítás célja kettős, egyrészt az uniós kiberreziliencia-rendelet (Cyber Resilience Act, CRA) hazai végrehajtása, másrészt a már hatályban lévő magyar kiberbiztonsági szabályok pontosítása és kiterjesztése. A változások 2026-tól fokozatosan lépnek hatályba, és számos olyan szervezetet érintenek, amelyek eddig nem vagy csak korlátozottan tartoztak kiberbiztonsági kötelezettségek alá.

Bővebben

Új rendelet a nagy kockázatú MI-rendszerek megfelelőségértékeléséről

2026-01-06
Új rendelet a nagy kockázatú MI-rendszerek megfelelőségértékeléséről

A mesterséges intelligenciát érintő uniós szabályozás végrehajtása Magyarországon új szakaszba lépett. A 44/2025. (XII. 23.) NGM rendelet a nagy kockázatú mesterséges intelligencia-rendszerekhez kapcsolódó végrehajtási jogszabály, amely a megfelelőségértékelést végző szervezetek kijelölésével kapcsolatos szabályokat határoz meg.

Bár a rendelet elsődlegesen nem az MI-rendszereket fejlesztő vagy alkalmazó vállalkozásokra vonatkozik, közvetett hatása valamennyi olyan piaci szereplőt érint, amely nagy kockázatú MI-megoldást kíván üzembe helyezni Magyarországon.

Bővebben

AVDH szolgáltatás kivezetése – mit érdemes tudni a vállalkozóknak?

2025-11-17
AVDH szolgáltatás kivezetése – mit érdemes tudni a vállalkozóknak?

2025. november elsejével megszűnt az azonosításra visszavezetett dokumentumhitelesítés szolgáltatása (röviden: AVDH), amelyet a 2015. évi CCXXII. törvény (továbbiakban: E-ügyintézési tv.) vezetett be, és ezzel együtt kötelezővé tette a gazdálkodó szervek számára az elektronikus ügyintézést. A 2023. évi CIII. törvénnyel (továbbiakban: Dáptv.) azonban elkezdték fokozatosan kivezetni az AVDH szolgáltatást. A 119. § (2) bekezdése szerint a magánszemélyek 2025. január 1. óta nem használhatják, a gazdálkodó szervezetek pedig ezen év október 31-ig használhatták.

Bővebben

Állunk rendelkezésére az információs technológiával kapcsolatos jogi kérdések tekintetében!

Kapcsolat