Adatvédelmi incidens? Jelentést kérünk!

Szűcs Zsolt - 2022.05.10. 15:51:56

incidens-2022-16x9

A legjobb szándék és a legnagyobb odafigyelés mellett is előfordulhat, hogy adatkezelőként mi magunk hibázunk, de válhatunk akár véletlen adatvesztés vagy kimondottan szándékos támadás, jogosulatlan felhasználás áldozatává is. Bármilyen adatvédelmi incidensről beszéljünk is, az esetleges veszélyelhárítás után a következő fontos lépés, hogy a kockázat függvényében mielőbb értesítsük erről a hatóságot is. Az alábbiakban rövid jogismertetés mellett konkrét példákon mutatjuk be, mikor szükséges, és mikor nélkülözhető a NAIH tájékoztatása.

Ahhoz, hogy el tudjuk dönteni, fentiek alapján mely incidensekkel mit is kellene kezdenünk, legelőször elevenítsük föl röviden, mit is takar pontosan e fogalom. Az adatvédelmi incidens a GDPR szerint a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását; jogosulatlan közlését, hozzáférését eredményezi. És hangsúlyozzuk, fontos feltétel a biztonság sérülése – a jogellenes adatkezelés önmagában még nem incidens. (Ha például hozzájárulás nélkül, nem megfelelő jogalapon, esetleg a meghatározott tárolási időn túl tovább kezelik a személyes adatokat, az nem minősül incidensnek.)

Kiemelten foglalkoznunk pedig azért kell vele, mert az előbbi felsorolás bármelyike károkat okozhat az érintetteknek – csak a gyakoribb példákat sorolva az adataik feletti rendelkezés elvesztését, jogaik korlátozását, hátrányos megkülönböztetést, a személyazonosság-lopást vagy visszaélést, anyagi veszteséget, jó hírnév sérelmét, a szakmai titoktartási kötelezettség és bizalmas jelleg sérülését.

Mikor jelentsük, mikor ne? A kockázat a döntő!

Azt pedig, hogy a már bekövetkezett incidenst be kell-e jelentenünk a NAIH-nak, avagy sem, legegyszerűbben megfogalmazva az dönti el, hogy az incidens valószínűsíthetően magas kockázattal jár-e a természetes személyek – az érintettek – jogaira és szabadságaira nézve.

Ha magas kockázattal jár → be kell jelenteni (és az érintettet tájékoztatni kell);
ha nem jár magas kockázattal → nem kell bejelenteni (és az érintettet sem kell tájékoztatni).

A kockázatokat 3 csoportba sorolhatjuk:

  1. az adatokhoz való jogosulatlan hozzáférés (téves e-mail, illetéktelen behatolás a rendszerbe, alkalmazásba, laptop/mobiltelefon elveszítése);
  2. az adatok véletlen vagy jogellenes megváltoztatása (helytelen adatbevitel miatt kár éri az érintettet);
  3. adatvesztés (rendszer meghibásodása, hozzáférhetetlenné válnak az adatok, adatkezelő gondatlan adatkezelése).

A kockázatot több tényező is növelheti, ha ezek valamelyike fennáll, szinte biztosan be kell jelenteni a hatóságnak. Mutatunk erre is példákat:

  • ha olyan jogosulatlan személyek fértek hozzá az adatokhoz, akikről okkal feltételezzük a rosszindulatot (elbocsátott kolléga; olyan címzettnek téves elküldés, akiről ugyancsak okkal gondoljuk, hogy az adatokkal, információkkal vissza fog élni);
  • ha különleges adatokról van szó (GDPR 9. cikk), ezek közül kiemelhetjük az egészségügyi és pénzügyi adatokat;
  • ha nagy számú adatról vagy érintettről van szó (egy teljes adatbázishoz fértek hozzá illetéktelenek, megsemmisült egy adatbázis);
  • 16. év alatti érintettek esetében;
  • és fokozottan, ha az előzőek közül egyszerre több is érvényes az incidensre.

És itt akár rövid párhuzamot is vonhatunk az adatvédelmi hatásvizsgálat elvégzésével, hiszen ott is kiemelt jelentőségű a kockázatok súlyossága, értékelése. Ha pedig a NAIH „feketelistáján” szereplő incidens történik, az nyilván magas kockázattal jár, tehát bejelentési kötelezettség állhat fenn.
Az „eredendően magas kockázatú adatkezelések” listáját a NAIH saját weboldalán sorolja fel.

Célszerű már az incidens-nyilvántartást eleve úgy összeállítani, hogy az összes körülményt begyűjtsük, számba vegyük, lejegyezzük. Ha például olyan adatok vesznek el, amelyeket könnyű pótolni, az az érintettnek legfeljebb bosszúságot, időveszteséget okoz. Ám ha egy rosszindulatú hacker feltöri egy kórház kellően nem védett nyilvántartását, és vizsgálati eredmények tűnnek el, vagy újra el kell végezni egy beavatkozással járó vizsgálatot, netán elhalasztani egy műtétet; vagy egy dolgozó lemásol és közzétesz egészségügyi adatokat – nos, akkor mindjárt más helyzet, ezeket vélhetően mind be kell jelenteni a hatóságnak.

Vagy egy gyakoribb esetet például véve: ha egy hírlevél-adatbázisból tűnnek el adatok, és emiatt
az érintettetek nem kapják meg a direkt marketing leveleket, az nem jelent kockázatot, nem gyakorol hatást a feliratkozók jogaira és szabadságaira. Ha viszont a hírlevélküldő szolgáltatás zsarolóvírus-támadás áldozatává vált, és az adatokat titkosították vagy meg is szerezték, ez már igenis hatással lehet az érintettekre nézve, tehát bejelentéskötelesnek tűnik.

Bár igyekeztünk valós példákat bemutatni, ezzel együtt is hangsúlyozzuk, hogy a bejelentési kötelezettséggel kapcsolatban nincs konkrét lista vagy felsorolás, hogy mit kell vagy nem kell jelenteni; mondhatjuk, minden eset egyedi vizsgálatot kíván, és annak összes körülményeit figyelembe véve kell döntenünk.

Nézzük, mi is egy incidens eseményeinek sorrendje, ügymenete:

  • az incidens észlelése (pld. ha a téves címzett azonnal visszajelez, rögtön el is lehet kezdeni a vizsgálatot; lehet, persze, hogy ez csak jóval később derül ki);
  • az incidens-nyilvántartásban rögzíteni a történteket (ezt akkor is, ha nem kötelező a bejelentés);
  • bejelentés a NAIH-nak.

Hogy az előző példákat két számmal is illusztráljuk: 2020-ban a NAIH-hoz 781 incidens-bejelentés érkezett, 2021-ben 594.
És rögtön hozzátesszük, hogy az egyébként relatív számok se legyenek rögtön ijesztőek senkinek. Egy incidens bejelentése ugyanis nem vonja magával automatikusan bírság kiszabását, ez tévhit. Sokszor éppen az a baj – és a büntetés egyik oka – hogy nem történik meg a bejelentés.

Bővebben is érdekelnek az adatvédelmi incidensek!

Ha még részletesebb információkat szeretne az adatvédelmi incidensekkel kapcsolatos teendőkről, a fenti gombra kattintva olvassa el Adatvédelmi kisokos sorozatunk közérthető szakmai írásait!
Emellett webshopunk GDPR-kínálatában is szerepel egy konkrétan az incidensekkel foglalkozó összefoglaló! Hasonló tartalmakért pedig kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük!

Iratkozzon fel hírlevelünkre!

 

 

 

Rovatok: GDPR- Crosssec

Szűcs Zsolt

Szűcs Zsolt

Kommunikációs menedzserként a nyelvi kiválóság elkötelezett híve – saját megfogalmazásával ő felel azért, hogy írásainkban a betűk mindig az ideális összetételben és sorrendben kövessék egymást. Hogy cikkeink, blogjaink tartalma legyen bár mindig lexikális alaposságú, a formájuk maradjon mégis érdekes, színes, olvasmányos.

Előző cikk

5 tanács - GDPR és hírlevélküldés

Következő cikk

Adatvédelmi hatásvizsgálat: előremenekülve

0 Comments

HÍRLEVÉL-FELIRATKOZÁS

Iratkozzon Fel Hírlevelünkre!

Hírlevelünkben sok olyan hasznos információval találkozhat, amelyek elengedhetetlenek egy vállalkozás szabályos és gördülékeny működéséhez.

Ahhoz, hogy fel tudjon iratkozni a hírlevelünkre, kérjük, a megcsillagozott jelölőnégyzet segítségével jelezze, hogy tudomásul veszi, hogy a Crosssec Solutions Kft. a marketing célú megkeresésről és hirlevélküldésről szóló adatkezelési tájékoztató szerint kezeli az adatait, és időnként hírlevelet küld az Ön számára. Annak érdekében, hogy elsősorban olyan témákban küldjünk hírlevelet, amelyek leginkább érdeklik Önt, kérjük jelölje, melyek ezek. Köszönjük.

Legfrissebb cikkek