Az adatvédelmi incidensről röviden.

Munkáltatóként küldött már postai levelet vagy e-mailt véletlenül másnak, mint akinek szerette volna? Nem magáncélú köre-mail esetén esetleg elfelejtette a titkos másolat opciót, ezért minden címzett mindenki más e-mailcímét is látta? Vesztett már el pendrive-ot tele munkavállalói adatokkal? Adminisztratív hiba folytán a cég weboldalára felkerültek olyan fénykép(ek), esetleg személyes adatokkal teli táblázat, amely nem a nyilvánosságnak készült?

Ha Önnek ismerősek ezek a helyzetek, akkor szükséges tisztában lennie az adatvédelmi incidens körüli szabályokkal is, ehhez nyújtunk most némi segítséget.

Az adatvédelmi incidens a GDPR Rendelet 4. cikk 12. pontja értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését (rendelkezésre állás sérülése), megváltoztatását (integritás sérülése), jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést (bizalmas jelleg sérülése) eredményezi.

A gyakorlatban tipikusan előforduló incidensek az alábbiak lehetnek:

• Téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek

Az adatkezelő köteles mindent megtenni annak érdekében, hogy a téves címzett a birtokába jutott, személyes adatokat tartalmazó dokumentumot, üzenetet megsemmisítse/törölje. Gondoskodnia kell az adatkezelőnek arról, hogy a tényleges címzett is megkapja az üzenetet. Ha az érintett személyes adatok jellege alapján az incidens kockázatát valószínűsíthetően magasnak értékeli (vagyis alapot szolgáltathat hátrányos megkülönböztetésre, de akár az érintett magán- és családi életét is befolyásolhatja), a Hatóság mellett tájékoztatnia kell az incidensről az érintettet.

• E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit.

Ilyenkor az incidens által a személyes adatokra jelentett kockázat csökkentése érdekében mindenképpen elvárható az adatkezelőtől, hogy a címzettekkel ismét felvegye a kapcsolatot és felkérje őket az üzenet törlésére.

• Ellopott/elvesztett számítástechnikai eszközök, telefonok.

Ilyen esetekben kiemelt szereppel bír az is, hogy az adatkezelő cég az incidenst megelőzően megfelelő intézkedéseket tett annak érdekében, hogy megakadályozza eszközei védelmét (jelszó, titkosítás), hogy az adott eszközön tárolt adatokat illetéktelen személyek ne ismerhessék meg. A korábban kiosztott jogosultságok, az érintett szerverek és szolgáltatások kerüljenek visszavonásra, illetve változtassák meg azok hozzáféréseit.

Bármilyen szabályosan és körültekintően jár el egy gazdasági társaság, adatvédelmi incidens bárkinél bármikor felmerülhet.

A lényeg az, hogy amint az adatkezelő cég tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával utána bejelenteni köteles az illetékes felügyeleti hatóságnál. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát.

Ha az adatkezelő cég már kismértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni, vagyis a bejelentés a még nem ismert információkkal később kiegészíthető, helyesbíthető, módosítható.

A bejelentés alól akkor mentesül, ha bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ez esetben az incidenst elegendő az Incidens Nyilvántartásban szerepeltetni, amelyet az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából szükséges vezetni (tartalmazza az érintett személyes adatok körét, az érintettek körét és számát, az incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket). Általánosságban elmondható, hogy egy adatvédelmi incidens után, a feltárt hiányosságokat kiértékelve, az adatkezelő részéről indokolt lehet a belső folyamatok felülvizsgálata, további szűrők, ellenőrzések beiktatása a munkafolyamatba, illetve a munkatársak adatvédelmi tudatosságának növelése.

Az incidens bejelentése történhet a Hatóságnak címzett postai, vagy az ugyfelszolgalat@naih.hu címre küldött elektronikus levélben, melyhez a Hatóság honlapjáról letölthető a bejelentő nyomtatvány több formátumban; illetve a Hatóság által erre a célra létrehozott, szintén a Hatóság honlapjáról elérhető bejelentő felületen.

Az adatvédelmi incidens kezelése körüli mulasztások (akár a bejelentés vagy az érintettek tájékoztatásának elmulasztása) több millió forintos bírságot eredményezhetnek.