Szakmai blog

Adatvédelmi incidens bejelentése a GDPR alapján

2018-02-09 | Adatvédelem

Adatvédelmi incidens bejelentése a GDPR alapján

Az Európai Unió új Adatvédelmi Rendelete szigorú szabályokat ír elő az adatvédelmi kötelezettségek megszegése esetére.


Mi az az adatvédelmi incidens?

A GDPR szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adatvédelmi incidens esetén a rendelet arra kötelezi az adatkezelőt, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül, ha lehetséges legkésőbb 72 órán belül bejelentsék a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságára nézve.   Ha ez nem lehetséges, akkor meg kell indokolni a késedelmet a felügyeleti hatóságnak.

Abban az esetben, ha az incidens valószínűsíthetően magas kockázattal jár, indokolatlan késedelem nélkül tájékoztatni kell az érintetteket. Az adatfeldolgozónak értesítenie kell az adatkezelőt. A felügyelő hatóság és az érintett értesítésének a rendeletben pontosan meghatározott információkat kell tartalmaznia.

Mentesülés az értesítési kötelezettség alól

A GDPR bizonyos körülmények fennállása esetén mentesülést biztosít az érintettek értesítésének kötelezettsége alól.  Így például:

  • ha az adat titkosítva volt és értelmezhetetlen a jogosulatlanul hozzáférő számára,
  • vagy valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságára nézve,
  • vagy ha az értesítés aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása).

Az adatsértés bejelentése

Az adatvédelmi incidens bejelentéséhez is külön követelményeknek kell megfelelniük az adatkezelőknek. Ez a dokumentáció azt a célt szolgálja, hogy a felügyelő hatóság ellenőrizni tudja a szabályoknak való megfelelést.

A bejelentésben legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az EU szakosított ügynöksége, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) módszertani útmutatójában ajánlást fogalmazott meg arra vonatkozóan, hogy milyen módszerrel állapíthatjuk meg az adatvédelmi incidens súlyosságát.

Az adatvédelmi incidens súlyossága értékelésének fő szempontjai:

  • Az Adatkezelési Környezet vizsgálata: a megsérült adatok fajtáját kell megvizsgálni, beleértve az adatkezelés valamennyi körülményét,
  • Az Azonosíthatóság Mértékét is meg kell határozni, melynek lényege annak feltárása, hogy az adatvédelmi incidenssel érintett adatokból mennyire könnyen lehetséges az érintettek azonosítása
  • Sérülés Körülményeinek leírása: meg kell vizsgálni a sérülés körülményeit, elsősorban a megsérült adat biztonságának csökkenését, illetve a rosszindulatú támadásra és a szándékosságra utaló valamennyi jelet.

Az ENISA ajánlása ezen túl segítséget nyújt az incidensben érintett adatok típusának meghatározásában, a veszély súlyosságának megállapításában és az eset körülményeinek feltárásában. A vizsgálat eredményeként az adatvédelmi incidens súlyosságát alacsonyközepesmagas vagy nagyon magas kategóriákba sorolhatjuk.

Bejelentési terv

Az adatvédelmi szabályoknak való megfelelés érdekében az adatkezelőknek készíteniük kell egy ún. adatvédelmi incidens bejelentési tervet, amely több célt is szolgál. A legfontosabb, hogy ez alapján, incidens esetén azonnal cselekedni tudjanak az adatsértés mihamarabbi bejelentését és az érintett tájékoztatását illetően. Ez azt is megköveteli, hogy specifikus feladatokat és felelősségi köröket jelöljenek ki a vállalaton belül, valamint dolgozói tréningeket és felkészítést tartsanak.

Ez alapján kijelöli azt a személyt, akinek az adatsértés vizsgálatát kell végeznie, továbbá felelős az incidens rögzítéséért és a megfelelő intézkedések megtételéért. Fontos megjegyezni azonban, hogy mivel a GDPR csak május 25-től lesz alkalmazandó, ezért nincs még kialakult joggyakorlat, ennek köszönhetően egyelőre csak a rendelet szövegéből indulhatunk ki.

Nemzeti Adatvédelmi és Információszabadság Hatóság feladata lesz, hogy legkésőbb 2018. májusáig elkészítse az adatvédelmi incidensek bejelentésére szolgáló felületet, formanyomtatványt, esetlegesen egy általa elfogadott értékelési módszertant.

A ChatGPT-vel összefüggő adatvédelmi aggályok - Könnyen hozzáférhetnek az adatainkhoz?

2024-01-05
A ChatGPT-vel összefüggő adatvédelmi aggályok - Könnyen hozzáférhetnek az adatainkhoz?

Az utóbbi időben a vállalatok világszerte generatív mesterséges intelligencia (GenAI) megoldásokat vezettek be, adataik hatékony és egyszerű kezelése és átláthatósága érdekében. Mivel a legtöbb esetben a GenAI-modellnek "hosszú távú memóriával" kell rendelkeznie, szinte minden vállalati megoldáshoz szükség van egy vektoradatbázisra, amelyet a modell futásidőben lekérdezhet a felhasználói kérdés megválaszolásához szükséges kontextus eléréséhez.

Azonban az eddig rendkívül biztonságosnak hitt megoldás egy olyan kellemetlen igazságot rejt, amely hatalmas adatvédelmi aggályokat vethet fel.

Bővebben

Deepfake ellen orvosság - Morgan Freemannel

2023-12-22
Deepfake ellen orvosság - Morgan Freemannel

Kipróbálta már Ön, hogy hogyan nézne ki húsz-harminc évvel később? Esetleg megnézte magát kedvenc filmje főszereplőjeként? (Igen a Puzzlme-re gondolunk!) Ha a válasz igen, akkor már biztos lehet abban, hogy kipróbálta a deepfake technológiát. A kezdetben ártatlan játéknak tűnő technológia mára azonban már a vártnál is nagyobb problémákat hordozhat magában.

Bővebben

Klónozás kapcsán felmerülő jogi problémák

2023-10-10
Klónozás kapcsán felmerülő jogi problémák

10 évvel ezelőtt mutatták be a Black Mirror azt a részét, amelyikben egy nő egy olyan szolgáltatás segítségével klónozza halott volt párját, amely a közösségi médiában közzétett bejegyzéseit és szövegeit elemezve újrateremti a személyiségét. Az epizód 2013-ban még meglehetősen futurisztikusnak tűnt, de éppen a hihető határán volt - elvégre sokan már akkor is kiterjedt digitális lábnyomokat hagytunk magunk mögött a telefonjainkkal és számítógépeinkkel. Most azonban a klónozás valósággá vált?

Bővebben

Állunk rendelkezésére az információs technológiával kapcsolatos jogi kérdések tekintetében!

Kapcsolat