GDPR

GDPR: adatvédelmi incidens bejelentése

adatvédelmi incidens

Az adatvédelmi incidens az adatvédelem terén újdonság, amelyet az általános adatvédelmi rendelet (GDPR) vezetett be. Az adatvédelmi incidens fogalmát a GDPR rendelet a fogalommeghatározások között határozza meg.

A rendelkezések értelmében adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

A fentiek alapján, ha az adatkezelő által kezelt személyes adatokkal kapcsolatosan egy munkavállaló adatvédelmi incidenst észlel, akkor azt a felettesének haladéktalanul jelentenie kell. Adatvédelmi incidens lehet például személyes adathoz jogosulatlan hozzáférés, személyes adat jogosulatlan törlését vagy megsemmisítése, stb. De adatvédelmi incidens lehet például egy olyan pendrive elhagyása is, amelyen személyes adatok voltak.

Az általános adatvédelmi rendelet (GDPR) adatvédelmi incidens esetére egy úgynevezett eljárásrendet határoz meg. Elsőnek az adatvédelmi incidenst kategorizálni kell, vagyis az adatkezelőnek meg kell határozni, hogy az incidens az érintettekre milyen hatással jár. A kockázat lehet mag, lehet csak kockázat, s a legalacsonyabb a kockázat hiánya. Amennyiben a kockázatelemzés, kockázatbesorolás megtörtént, úgy az illetékes hatóság (NAIH) részére 72 órán belül jelenteni kell. A rendelet meghatározza azt is, hogy mit kell tartalmaznia a bejelentésnek. A bejelentés minimálisan tartalmazza:

    • az incidens jellegét
    • kik az érintettek (kategóriái)
    • incidenssel érintett adatok kategóriái
    • az adatvédelmi incidensből eredő valószínűsíthető következményeket,
    • milyen intézkedéseket tett az adatkezelő az adatvédelmi incidens mérséklésére

Az adatvédelmi incidens bekövetkezését követően az érintett személyeket tájékoztatni kell, amennyiben az incidens magas kockázattal jár:

  • annak a személynek az elérhetőségét, aki bővebb információval tud szolgálni a bekövetkezett adatvédelmi incidensről,
  • valószínűsíthető következményeket,
  • az orvoslásra tett intézkedéseket.

Az adatvédelmi incidensekről külön nyilvántartást kell vezetni. A nyilvántartásnak az alábbiakat kell tartalmaznia:

  • mikor következett be az incidens
  • meg kell nevezni az incidenst
  • kik az érintettek
  • mely személyes adatokat érint az incidens
  • milyen hatása van az adatvédelmi incidensnek
  • milyen intézkedések kerültek megtételre.

Az adatvédelmi incidensek nyilvántartását, amennyiben személyes adatokat érintenek 5 évig, míg különleges adatokat érintő incidens esetén 20 évig kell megőrizni.

Kép forrása: qz.com

A szerzőről

Dr. Keserű Imre

A Debreceni Egyetem, Állam- és Jogtudományi Kar jogász szakán végzett, jelenleg a Dr. Nagy Ádám Ügyvédi Iroda (Hajdúszoboszló) ügyvédjelöltje.