Az adatvédelmi biztonság sérülése: adatvédelmi incidensek
A Rendelet szerint az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.
Az adatbiztonság garantálásának eszköze lehet többek között az álnevesítés, az adattitkosítás, az adatkezelést végző rendszerek bizalmas jellegének, integritásának technikai és szervezési eszközökkel történő szavatolása, az illetéktelen külső behatolás elleni megfelelő védelem garantálása, az adatvesztés elleni védekezés.
A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. Mivel az adatbiztonság szavatolása a technikai fejlődéstől, illetve a megvalósítás költségeitől is függ, a személyes adatok biztonsága az adatvédelmi, adatbiztonsági előírások teljes körű betartása esetén is sérülhet.
Az adatvédelmi incidens a GDPR-rendelet értelmezése szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidensek jellemzően a személyes adataik feletti rendelkezés elvesztését vagy az érintettek jogainak korlátozását, hátrányos megkülönböztetést, személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését és számos más, vagyoni vagy nem vagyoni jellegű kárt eredményezhetnek.
Az adatkezelő köteles az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, a tudomásszerzéstől számított 72 órán belül be kell jelenteni az adatvédelmi hatóságnak, kivéve, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A késedelmes bejelentést indokát is bekell jelenteni.
Az adatfeldolgozó az adatvédelmi incidenst az arról való tudomásszerzését követően indokolatlan késedelem nélkül az adatkezelőnek (tehát nem a hatóságnak!) köteles bejelenti. A bejelentésben:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül, világosan közérthetően tájékoztatja az érintettet az adatvédelmi incidensről, kivéve
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat; vagy
b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; illetőleg
c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Az érintettek tájékoztatását az adatvédelmi hatóság is elrendelheti.
Adatvédelmi incidens esetén az adatkezelőnek a bejelentéstől és a tájékoztatástól függetlenül végre kell hajtani az összes megfelelő technológiai védelmi és szervezési intézkedéseket. Az adatvédelmi hatóság a jelentés alapján további intézkedéseket rendelhet el az adatkezelők, adatfeldolgozók számára.
Sorozatunk korábbi részei:
http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz
http://perfekt.blog.hu/2018/05/30/gdpr_masodik_resz
https://perfekt.blog.hu/2018/06/20/gdpr_harmadik_resz
https://perfekt.blog.hu/2018/08/15/gdpr_negyedi_resz
https://perfekt.blog.hu/2018/08/22/gdpr_otodik_resz
https://perfekt.blog.hu/2018/08/29/gdpr_hatodik_resz
