Adatvédelmi incidens akkor következik be, amikor olyan biztonsági esemény éri azokat a személyes adatokat, amelyekért az ön vállalkozása/szervezete felel, melynek eredményeképpen sérül a személyes adatokra vonatkozó titoktartási kötelezettség, az adatok hozzáférhetősége vagy az integritása.
Ilyen eset lehet például egy céges laptop, USB adathordozó elvesztése vagy annak ellopása, melyen nem titkosított személyes adatokat tárolnak, de adatvédelmi incidensről beszélünk akkor is, ha véletlenül rossz e-mail címre küldünk ki személyes adatokat tartalmazó csatolmányt, vagy lehetővé válik egy e-mailben a többi címzett e-mail címének a megtekintése.
Az incidens már abban a pillanatban megvalósult, amikor az adat véletlenül vagy jogellenesen megsemmisült, elveszett, megváltozott vagy ahhoz bárki jogosulatlanul hozzáfért.
Fontos kiemelni, hogy a legtöbb esetben az adatvédelmi incidens nem külső támadás eredménye, hanem emberi mulasztás, figyelmetlenség következménye, illetve az adatvédelmi tudatosság hiánya okozza. Ezért nagyon fontos, hogy cége és munkavállalói tisztában legyenek azzal, hogy mi egyáltalán az adatvédelmi incidens, és mi a teendő ilyen esetekben.
Az adatvédelmi rendelet (GDPR) elvárja, hogy a biztonság ne csak előírás legyen, hanem a gyakorlatban is gondoskodjunk az általunk kezelt adatok biztonságáról.
Mi a teendő adatvédelmi incidens esetén?
1. Mindenképp alakítsunk ki egy jól működő riasztási folyamatot, ahol bárki, akár a munkavállaló, akár az ügyfél, illetve a vállalkozása által szerződött adatfeldolgozó könnyen bejelentheti az adatvédelmi incidenst.
2. Minden esetben ki kell elemezni, hogy maga az incidens mekkora kockázatot jelent az egyének jogaira és szabadságára nézve.
3. Ha feltehetően magas kockázatot jelent, akkor indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az incidens a tudomására jutott, köteles bejelenteni az esetet az adatvédelmi hatóságnak.
Ennek keretében
- ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
4. Minél gyorsabban minden lehetséges technikai és szervezeti lépést meg kell tenni annak érdekében, hogy az adatok sérülékenysége, titkosítása és integritása helyreálljon, illetve magas kockázatú esemény alkalmával erről tájékoztatni kell az érintett egyéneket.
5. Be kell vezetni az incidenst a belső adatvédelmi incidens nyilvántartásba.
A nyilvántartásnak tartalmaznia kell az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, az adatvédelmi incidens körülményeit, hatásait, az adatvédelmi incidens által bekövetkezendő kár elhárítására megtett intézkedéseket.
Mi történik, ha nem jelenti az adatvédelmi incidenst a NAIH felé?
Az adatvédelmi hatóság igen szigorúan veszi az adatvédelmi incidens bejelentésének elmulasztását, akár több tíz millió forintos büntetésre is számíthat.
Ha szeretne biztos lenni abban, hogy vállalkozása felkészült az adatvédelmi incidensek kezelésére, forduljon hozzánk bizalommal az iroda@tomosvarilaw.hu e-mail címen vagy foglaljon időpontot honlapunkon keresztül!
