Blog
Blog » VIGYÁZAT – ADATVÉDELMI INCIDENS
VIGYÁZAT – ADATVÉDELMI INCIDENS
26 March 2018
Úgy gondolod, hogy egy adatvédelmi incidens csak a kiberbűnözés következménye lehet? Tévedés, ugyanis bizonyos körülmények között egy egyszerű emberi hiba, például egy céges laptop elvesztése is adatvédelmi incidensnek minősülhet. Rövid cikkünkben elmagyarázzuk, hogy mi is az az adatvédelmi incidens, és hogyan kezelj egy ilyen nemkívánatos eseményt a GDPR-nek megfelelően.
1. Mi is az az adatvédelmi incidens?
Ahhoz, hogy megértsd, mi is az az adatvédelmi incidens, jegyezd meg a következő három kifejezést: bizalmasság, sértetlenség, rendelkezésre állás. Adatvédelmi incidens alatt ugyanis a személyes adatok bizalmasságával, sértetlenségével és / vagy rendelkezésre állásával kapcsolatos problémát értünk.
A bizalmasság akkor sérül, ha az adathoz arra nem jogosult személy fér hozzá, például ha egy hackertámadás következményeként az ügyfél-listád felkerül egy nyilvános honlapra.
Az adatok sértetlenségével kapcsolatos incidens az, ha a személyes adatot véletlenül vagy jogellenesen módosítják, például ha egy beteg vércsoport adatát átírják a kartonján, ami lássuk be, súlyos következményekkel járhat.
Az adatok rendelkezésre állása sérül, ha a személyes adathoz nem lehet hozzáférni vagy az adat megsemmisül. Ilyen eset lehet az, ha elveszted vagy összetöröd a pendrive-odat, amelyen a kontakt-listádat tároltad.
2. Ismerd fel az incidenst
Az adatvédelmi incidensek megfelelő kezelésének alapja az, hogy egyáltalán képes vagy felismerni, hogy ilyen történt. Ahhoz, hogy ez lehetséges legyen, cégednek mindenképpen rendelkeznie kell belső folyamatokkal, illetve eljárásrenddel.
Az eljárásrended egyik pillére a technikai jellegű intézkedések bevezetése, például egy tűzfal vagy a belépés azonosítás, amelyek segítségével ki lehet szűrni az illetéktelen behatolásokat.
A szervezeti szabályok azonban legalább olyan fontosak, mint a technikai intézkedések. Például, ha a munkavállalóid nem tudják, hogy a céges laptop elvesztését azonnal be kell jelenteniük, nem fogod tudni felismerni, hogy történt-e adatvédelmi incidens és nem fogod tudni megtenni az esetleg szükséges lépéseket.
3. Az adatvédelmi hatóság tájékoztatása
Ha tudomásodra jutott, hogy adatvédelmi incidens történt, el kell döntened, hogy tájékoztatod-e az adatvédelmi hatóságot. A döntést villámgyorsan meg kell hoznod, ugyanis főszabály szerint a felismeréstől számított 72 órán belül be kell jelentened az incidenst.
Mint adatkezelő, csak akkor kerülheted el a bejelentést, ha valószínűtlen, hogy az incidens az érintettek számára kockázattal jár. Ilyen lehet például, ha ellopták a pendrive-odat, amin munkavállalói adatokat tároltál, de a pendrive titkosítva volt.
Amennyiben viszont az incidens kockázattal járhat az adatalanyokra nézve, akkor késedelem nélkül értesítened kell az adatvédelmi hatóságot. Például, ha egy hacker egy nyilvános honlapra feltölti az ügyfeleid felhasználóneveit és jelszavait, mindenképpen be kell jelentened a hatóságnak.
4. Az érintettek tájékoztatása
Bizonyos esetekben nemcsak az adatvédelmi hatóságot, hanem az érintetteket is tájékoztatnod kell az adatvédelmi incidensről.
Ilyen eset az, ha az incidens valószínűsíthetően súlyos kockázattal jár az adatalanyokra nézve. Az előző példánál maradva, ha egy hacker közzéteszi az ügyfeleid felhasználónevét és jelszavát, fontos, hogy őket is értesítsd, hogy megváltoztathassák a jelszavukat.
Az, hogy milyen módon kell tájékoztatnod az érintetteket, az eset körülményeitől függ. Az alapvető elvárás az, hogy közvetlenül értesítsd az adatalanyokat (például e-mailben vagy SMS-ben), kivéve, ha ez aránytalan teher lenne. Az utóbbi esetben a nyilvános tájékoztatás is megfelelő lehet, például ha a honlapodon közzéteszel egy figyelemfelhívó közleményt.
5. “Papírozd le” az incidenst!
Az adatkezelőnek nyilvántartást kell vezetnie az összes adatvédelmi incidensről és az adatvédelmi hatóság kérésére be kell mutatni a nyilvántartást.
Az incidens nyilvántartásodnak tartalmaznia kell legalább az incidens leírását, azt, hogy milyen adatkategóriákat érintett, milyen hatásai voltak és milyen intézkedéséket tettél az incidens orvoslására.
Emellett célszerű lehet röviden indokolni, ha az incidenst nem jelentetted be az adatvédelmi hatóságnak vagy nem tájékoztattad az érintetteket. Ha pedig értesítetted a hatóságot (vagy az érintetteket is), jó gyakorlat annak rögzítése, hogy ez mikor és hogyan történt meg.
Adott esetben tehát egy egyszerű emberi hibának is súlyos következményei lehetnek az általad kezelt személyes adatokra nézve. Ahhoz, hogy ezeket a helyzeteket a GDPR alapján kezelni tudd, a jövőben mindenképpen rendelkezned kell egy megfelelő akciótervvel.
-
WE ARE 15!
Recently we celebrated our 15th Anniversary, which is a very important milestone for us. Looking back, our Office went through a long improvement until the formation of our present profile: providing legal support in domestic and international commercial law issues and helping our clients doing business in Hungary.
Read more » -
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more »