Blog
Blog » VIGYÁZAT – ADATVÉDELMI INCIDENS
VIGYÁZAT – ADATVÉDELMI INCIDENS
2018 Március 26
Úgy gondolod, hogy egy adatvédelmi incidens csak a kiberbűnözés következménye lehet? Tévedés, ugyanis bizonyos körülmények között egy egyszerű emberi hiba, például egy céges laptop elvesztése is adatvédelmi incidensnek minősülhet. Rövid cikkünkben elmagyarázzuk, hogy mi is az az adatvédelmi incidens, és hogyan kezelj egy ilyen nemkívánatos eseményt a GDPR-nek megfelelően.
1. Mi is az az adatvédelmi incidens?
Ahhoz, hogy megértsd, mi is az az adatvédelmi incidens, jegyezd meg a következő három kifejezést: bizalmasság, sértetlenség, rendelkezésre állás. Adatvédelmi incidens alatt ugyanis a személyes adatok bizalmasságával, sértetlenségével és / vagy rendelkezésre állásával kapcsolatos problémát értünk.
A bizalmasság akkor sérül, ha az adathoz arra nem jogosult személy fér hozzá, például ha egy hackertámadás következményeként az ügyfél-listád felkerül egy nyilvános honlapra.
Az adatok sértetlenségével kapcsolatos incidens az, ha a személyes adatot véletlenül vagy jogellenesen módosítják, például ha egy beteg vércsoport adatát átírják a kartonján, ami lássuk be, súlyos következményekkel járhat.
Az adatok rendelkezésre állása sérül, ha a személyes adathoz nem lehet hozzáférni vagy az adat megsemmisül. Ilyen eset lehet az, ha elveszted vagy összetöröd a pendrive-odat, amelyen a kontakt-listádat tároltad.
2. Ismerd fel az incidenst
Az adatvédelmi incidensek megfelelő kezelésének alapja az, hogy egyáltalán képes vagy felismerni, hogy ilyen történt. Ahhoz, hogy ez lehetséges legyen, cégednek mindenképpen rendelkeznie kell belső folyamatokkal, illetve eljárásrenddel.
Az eljárásrended egyik pillére a technikai jellegű intézkedések bevezetése, például egy tűzfal vagy a belépés azonosítás, amelyek segítségével ki lehet szűrni az illetéktelen behatolásokat.
A szervezeti szabályok azonban legalább olyan fontosak, mint a technikai intézkedések. Például, ha a munkavállalóid nem tudják, hogy a céges laptop elvesztését azonnal be kell jelenteniük, nem fogod tudni felismerni, hogy történt-e adatvédelmi incidens és nem fogod tudni megtenni az esetleg szükséges lépéseket.
3. Az adatvédelmi hatóság tájékoztatása
Ha tudomásodra jutott, hogy adatvédelmi incidens történt, el kell döntened, hogy tájékoztatod-e az adatvédelmi hatóságot. A döntést villámgyorsan meg kell hoznod, ugyanis főszabály szerint a felismeréstől számított 72 órán belül be kell jelentened az incidenst.
Mint adatkezelő, csak akkor kerülheted el a bejelentést, ha valószínűtlen, hogy az incidens az érintettek számára kockázattal jár. Ilyen lehet például, ha ellopták a pendrive-odat, amin munkavállalói adatokat tároltál, de a pendrive titkosítva volt.
Amennyiben viszont az incidens kockázattal járhat az adatalanyokra nézve, akkor késedelem nélkül értesítened kell az adatvédelmi hatóságot. Például, ha egy hacker egy nyilvános honlapra feltölti az ügyfeleid felhasználóneveit és jelszavait, mindenképpen be kell jelentened a hatóságnak.
4. Az érintettek tájékoztatása
Bizonyos esetekben nemcsak az adatvédelmi hatóságot, hanem az érintetteket is tájékoztatnod kell az adatvédelmi incidensről.
Ilyen eset az, ha az incidens valószínűsíthetően súlyos kockázattal jár az adatalanyokra nézve. Az előző példánál maradva, ha egy hacker közzéteszi az ügyfeleid felhasználónevét és jelszavát, fontos, hogy őket is értesítsd, hogy megváltoztathassák a jelszavukat.
Az, hogy milyen módon kell tájékoztatnod az érintetteket, az eset körülményeitől függ. Az alapvető elvárás az, hogy közvetlenül értesítsd az adatalanyokat (például e-mailben vagy SMS-ben), kivéve, ha ez aránytalan teher lenne. Az utóbbi esetben a nyilvános tájékoztatás is megfelelő lehet, például ha a honlapodon közzéteszel egy figyelemfelhívó közleményt.
5. “Papírozd le” az incidenst!
Az adatkezelőnek nyilvántartást kell vezetnie az összes adatvédelmi incidensről és az adatvédelmi hatóság kérésére be kell mutatni a nyilvántartást.
Az incidens nyilvántartásodnak tartalmaznia kell legalább az incidens leírását, azt, hogy milyen adatkategóriákat érintett, milyen hatásai voltak és milyen intézkedéséket tettél az incidens orvoslására.
Emellett célszerű lehet röviden indokolni, ha az incidenst nem jelentetted be az adatvédelmi hatóságnak vagy nem tájékoztattad az érintetteket. Ha pedig értesítetted a hatóságot (vagy az érintetteket is), jó gyakorlat annak rögzítése, hogy ez mikor és hogyan történt meg.
Adott esetben tehát egy egyszerű emberi hibának is súlyos következményei lehetnek az általad kezelt személyes adatokra nézve. Ahhoz, hogy ezeket a helyzeteket a GDPR alapján kezelni tudd, a jövőben mindenképpen rendelkezned kell egy megfelelő akciótervvel.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »