Az adatvédelmi incidens fogalmát a GDPR 4. cikkének 12. pontja határozza meg, eszerint: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Vagyis ez azt jelenti, hogy ha az adat megsemmisül, elveszítjük az adatot, ha valaki megváltoztatja az adatot, esetleg valaki jogosulatlanul fért hozzá az adatainkhoz, megvalósul az adatvédelmi incidens, teljesen függetlenül attól, hogy ezek véletlenül valósultak-e meg, vagy szándékosság volt mögötte. Bár a GDPR alapján kiemelten fontos az, hogy adatkezelőként megelőzzük az adatvédelmi incidenseket, ezek rajtunk kívülálló okok miatt is bekövetkezhetnek - legyen az emberi mulasztás, vagy akár egy csőtörés, amely során a papíralapú ügyfél adatok teljesen megsemmisülnek.
A GDPR pontos útmutatást ad, mi a teendő akkor, ha megtörtént a baj. Ez alapján, ha bekövetkezett az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az adatkezelő tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál. Amennyiben a bejelentés mégsem történik meg 72 órán belül, a NAIH számára igazolni kell mellékletben a késedelem igazolására szolgáló indokokat is.
Nem kell bejelenteni a hatóság felé, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve – ennek mérlegelése az adatkezelő fontos feladata.
Az adatvédelmi incidenst követően a legfontosabb, hogy az Adatkezelő orvosolja a problémát: megtegye mindazokat az intézkedéseket, amik az incidens megszüntetéséhez és a további hasonló események elkerüléséhez szükségesek (szabályozások módosítása, a weboldal informatikai beállításainak változtatása, a tárolt dokumentumok elhelyezésének, biztonságának javítása, stb.).
A NAIH a bejelentések megkönnyítésére létrehozott egy külön bejelentő rendszert, amit ide kattintva lehet elérni: https://www.naih.hu/adatvedelmi-incidensbejelento-rendszer
Az egyébként nem is rövid hatósági bejelentőben mindenképp meg kell írni a hatóság számára:
1) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
2) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
3) ismertetni kell az esetből eredő, valószínűsíthető következményeket;
4) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
A tájékoztatás során meg kell adni azt is, mikor következett be az incidens, milyen jellegű adatok érintettek (személyazonossághoz kapcsolódó adat, képfelvétel, vagy különleges adat, mint például az egészségügyi adat). Amennyiben valami miatt nem lehetséges az információkat egyidejűleg megadni, akkor azokat további indokolatlan késedelem nélkül később, részletekben is van lehetőség közölni.
Arról, hogy a hatóságon kívül még pontosan kiket és hogyan kell tájékoztatunk, hamarosan újabb blogbejegyzéssel készülünk!