GDPR: Az adatvédelmi incidensek és kezelésük érthetően

GDPR: Az adatvédelmi incidensek és kezelésük érthetően

Forrás: merosus.hu

Három nap, egész pontosan 72 óra áll a rendelkezésre, hogy bejelentsük az adatvédelmi incidenst.
Kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ennél a pontnál nyeri el a jelentőségét az összes előkészület, amit megtettünk.

Ha van adattérképünk, tudjuk, hogy milyen adatokat érinthet egy esetleges incidens.
Ha a magas kockázattal járó adatokról van hatásvizsgálatunk, tudjuk megfelelően tájékoztatni a hatóságot.
Ha van szerződésünk az adatfeldolgozóval, és nála történik incidens, mi védve vagyunk.

Példák az adatvédelmi incidensre:

  • elveszítjük a laptopot, pendrájvot, amin személyes adatokat tárolunk;
  • ellopják az adathordozóinkat;
  • előre nem látható károsodás éri az eszközeinket, pl. tűz- vagy vízkár.
  • hacker támadás éri az informatikai rendszert;
  • zsarolóprogram  áldozatai leszünk;
  • rossz helyre küldjük az e-mailt, amely személyes adatokat tartalmaz;
  • átadjuk a jelszavainkat valakinek, aki jogosulatlanul hozzáfér a személyes adatokhoz;
  • nyilvánosságra hozunk egy fényképet, amelyet nem lett volna szabad;
  • megtévesztéssel vagy más úton információt szereznek az adatokról illetéktelenek.

Miért kell erre ügyelni?

Mert kárt okozhatunk azoknak a személyeknek, akiknek az adatait kezeljük.

Milyen károkról beszélünk?

Például jó hírnév sérelme, pénzügyi veszteség, személyazonosság-lopás, vagy személyazonossággal visszaélés, hátrányos megkülönböztetés, stb.

Mi a teendő, ha megtörtént a baj és adatvédelmi incidens következett be?

1. Mindent el kell követni, hogy csökkentsük a további veszteséget, megelőzzük a további károkat. Ez jelentheti a rendszer helyreállítását, a korábbi biztonsági másolatok használatát, a rendszer teljes elszigetelését

2. Értékelni kell, hogy mekkora kockázattal jár az érintettekre nézve az incidens.

  • Milyen adatokról van szó?
  • Mennyire érzékeny adatok? (egyes adatok a személyes jellegük miatt lehetnek érzékenyek pl. egészségügyi nyilvántartás adatai, mások a következmények miatt, pl. bankszámlaadatok).
  • Ha az adatokat ellopták, titkosítva voltak-e?
  • Mi történt az adatokkal? Ha ellopták, tartalmaznak-e olyan információt, amely káros lehet az érintettekre, ha elvesztek vagy sérültek, helyreállíthatóak-e?
  • Mit tudhat meg harmadik személy az érintettről?
  • Hány személy adatait érinti a jogsértés?
  • Kik azok a személyek, akinek az adatait érinti?
  • Járhat-e szélesebb rétegeket érintő következménnyel az incidens? Például közbiztonságra jelent-e veszélyt, vagy a közbizalomra.

3. Értesítési kötelezettség teljesítése

  • a hatóság és az érintett felé, ha az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve;
  • az érintettet nem kell értesíteni, ha az adatkezelő megtette a szükséges intézkedéseket, pl. a titkosítás révén értelmezhetetlen másoknak az adat, vagy olyan intézkedéseket tett, amelyek megszüntették a kockázatot, vagy aránytalan erőfeszítést követelne az értesítés (ilyenkor a nyilvánossághoz kell fordulni).

Az adatvédelmi incidens bejelentésére várható formanyomtatvány.

A francia hatóság már készített egyet, kiindulásnak tökéletes, nagyjából ezekre lesz kíváncsi a hatóság egy bejelentésnél:

  • adatkezelő neve, elérhetőségei, azonosítói;
  • kapcsolattartó (adatvédelmi tisztviselő) neve, elérhetőségei;
  • az értesítés típusa (teljes, részleges, kezdeti, kiegészítő);
  • az incidens dátuma és időpontja;
  • az incidens körülményei (titoktartás elvesztése, integritás elvesztése, rendelkezésre állás hiánya);
  • az érintett személyes adatok kategóriái és tartalma (pl. személyi adatok: név, születési dátum, életkor; vagy kapcsolati adatok: e-mail cím, lakóhely, telefonszám; vagy pénzügyi adatok: bankkártya adatai stb.);
  • az adatkezelő által a személyes adatok megsértéséért alkalmazott technikai és szervezeti intézkedések (megelőzés és kezelés is);
  • adatfeldolgozót vett-e igénybe az incidenssel érintett adatok feldolgozására;
  • az incidens leírása (helye, körülményei, konkrét események);
  • az érintettek száma;
  • lehetséges következmények;
  • az incidensre adott válaszok (ismételt előfordulás megelőzése, szervezeti intézkedések, helyreállítás, kárenyhítés;
  • érintetteket tájékoztatták-e (mikor, hány főt, milyen úton és milyen tartalommal);
  • más EU tagállamot érint-e az incidens.

NAGYON fontos: az adatvédelmi incidensekről minden cégre vonatkozóan nyilvántartást kell vezetni.

A nyilvántartásnak tartalmaznia kell: az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatását, és az orvoslására tett intézkedéseket.

Ez az összefoglaló nagymértékben támaszkodik:

Ennek a cikknek a teljes szövege a merosus.hu oldalon szerepel, ők a cikk szerzői.
Nagyon jó összefoglalónak tartom, ezért raktam ki.

Jancsek Árpád