Szakmai blog

Adatvédelmi incidens bejelentése a GDPR alapján

2018-02-09 | Adatvédelem

Adatvédelmi incidens bejelentése a GDPR alapján

Az Európai Unió új Adatvédelmi Rendelete szigorú szabályokat ír elő az adatvédelmi kötelezettségek megszegése esetére.


Mi az az adatvédelmi incidens?

A GDPR szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens esetén a rendelet arra kötelezi az adatkezelőt, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül, ha lehetséges legkésőbb 72 órán belül bejelentsék a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságára nézve.   Ha ez nem lehetséges, akkor meg kell indokolni a késedelmet a felügyeleti hatóságnak.

Abban az esetben, ha az incidens valószínűsíthetően magas kockázattal jár, indokolatlan késedelem nélkül tájékoztatni kell az érintetteket. Az adatfeldolgozónak értesítenie kell az adatkezelőt. A felügyelő hatóság és az érintett értesítésének a rendeletben pontosan meghatározott információkat kell tartalmaznia.

Mentesülés az értesítési kötelezettség alól

A GDPR bizonyos körülmények fennállása esetén mentesülést biztosít az érintettek értesítésének kötelezettsége alól.  Így például:

  • ha az adat titkosítva volt és értelmezhetetlen a jogosulatlanul hozzáférő számára,
  • vagy valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságára nézve,
  • vagy ha az értesítés aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása).

Az adatsértés bejelentése

Az adatvédelmi incidens bejelentéséhez is külön követelményeknek kell megfelelniük az adatkezelőknek. Ez a dokumentáció azt a célt szolgálja, hogy a felügyelő hatóság ellenőrizni tudja a szabályoknak való megfelelést.

A bejelentésben legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az EU szakosított ügynöksége, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást fogalmazott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg az adatvédelmi incidens súlyosságát.

Az adatvédelmi incidens súlyossága értékelésének fő szempontjai:

  • Az Adatkezelési Környezet vizsgálata: a megsérült adatok fajtáját kell megvizsgálni, beleértve az adatkezelés valamennyi körülményét,
  • Az Azonosíthatóság Mértékét is meg kell határozni, melynek lényege annak feltárása, hogy az adatvédelmi incidenssel érintett adatokból mennyire könnyen lehetséges az érintettek azonosítása
  • Sérülés Körülményeinek leírása: meg kell vizsgálni a sérülés körülményeit, elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és a szándékosságra utaló valamennyi jelet.

Az ENISA ajánlása ezen túl segítséget nyújt az incidensben érintett adatok típusának meghatározásában, a veszély súlyosságának megállapításában és az eset körülményeinek feltárásában. A vizsgálat eredményeként az adatvédelmi incidens súlyosságát alacsonyközepesmagas vagy nagyon magas kategóriákba sorolhatjuk.

Bejelentési terv

Az adatvédelmi szabályoknak való megfelelés érdekében az adatkezelőknek készíteniük kell egy ún. adatvédelmi incidens bejelentési tervet, amely több célt is szolgál. A legfontosabb, hogy ez alapján, incidens esetén azonnal cselekedni tudjanak az adatsértés mihamarabbi bejelentését és az érintett tájékoztatását illetően. Ez azt is megköveteli, hogy specifikus feladatokat és felelősségi köröket jelöljenek ki a vállalaton belül, valamint dolgozói tréningeket és felkészítést tartsanak.

Ez alapján kijelöli azt a személyt, akinek az adatsértés vizsgálatát kell végeznie, továbbá felelős az incidens rögzítéséért és a megfelelő intézkedések megtételéért. Fontos megjegyezni azonban, hogy mivel a GDPR csak május 25-től lesz alkalmazandó, ezért nincs még kialakult joggyakorlat, ennek köszönhetően egyelőre csak a rendelet szövegéből indulhatunk ki.

Nemzeti Adatvédelmi és Információszabadság Hatóság feladata lesz, hogy legkésőbb 2018. májusáig elkészítse az adatvédelmi incidensek bejelentésére szolgáló felületet, formanyomtatványt, esetlegesen egy általa elfogadott értékelési módszertant.

Szigorúbb szabályok a cypto szolgáltatókkal kapcsolatban

2024-11-07
Szigorúbb szabályok a cypto szolgáltatókkal kapcsolatban

A közelmúltban kihirdetett kormányrendelet szigorúbb szakmai és képzettségi előírásokat vezet be a kriptoeszközökkel kapcsolatos tanácsadói és információszolgáltatási tevékenységekre. Az új rendelet a kriptoeszközök piacáról szóló 2024. évi VII. törvény 13. § (1) bekezdése alapján lépett hatályba, és célja, hogy biztosítsa a kriptoeszközök piacán tevékenykedő szakemberek magas szintű kompetenciáját, ezáltal növelve a piac biztonságát és átláthatóságát.

Cikkünkben röviden összefoglaltuk a rendelet legfontosabb szabályait.

Bővebben

Megkezdte működését az Online Platform Vitarendező Tanács

2024-09-10
Megkezdte működését az Online Platform Vitarendező Tanács

Az Online Platform Vitarendező Tanács (OPVT) augusztus 29-én kezdte meg működését, miután a Digitális Szolgáltatási Koordinátor elvégezte a testület tanúsítását. Cikkünkben röviden bemutatjuk az OPVT hátterét, lényegét és eljárását.

Bővebben

A kriptók új korszaka – hatályba lép a kriptovaluták piacáról szóló törvény

2024-05-14
A kriptók új korszaka – hatályba lép a kriptovaluták piacáról szóló törvény

2024. június 30-án hatályba lép az első kimondottan a kriptovaluták piacát szabályozó törvény a kriptoeszközök piacáról szóló 2024. évi VII. törvény. A szabályozás szükségességét a kriptovaluta egyre nagyobb térnyerése és az uniós előírások hívták életre. Bár néhány évvel ezelőtt még csak néhány ismerték a kriptovaluta fogalmát, mára elmondhatjuk, hogy a gazdaság egy nagyon meghatározó részét képezik a különböző kriptoeszközök. Cikkünkben a jogszabály legfontosabb rendelkezéseit foglaljuk össze.

Bővebben

Állunk rendelkezésére az információs technológiával kapcsolatos jogi kérdések tekintetében!

Kapcsolat