Forrás: merosus.hu
Három nap, egész pontosan 72 óra áll a rendelkezésre, hogy bejelentsük az adatvédelmi incidenst.
Kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Ennél a pontnál nyeri el a jelentőségét az összes előkészület, amit megtettünk.
Ha van adattérképünk, tudjuk, hogy milyen adatokat érinthet egy esetleges incidens.
Ha a magas kockázattal járó adatokról van hatásvizsgálatunk, tudjuk megfelelően tájékoztatni a hatóságot.
Ha van szerződésünk az adatfeldolgozóval, és nála történik incidens, mi védve vagyunk.
Példák az adatvédelmi incidensre:
- elveszítjük a laptopot, pendrájvot, amin személyes adatokat tárolunk;
- ellopják az adathordozóinkat;
- előre nem látható károsodás éri az eszközeinket, pl. tűz- vagy vízkár.
- hacker támadás éri az informatikai rendszert;
- zsarolóprogram áldozatai leszünk;
- rossz helyre küldjük az e-mailt, amely személyes adatokat tartalmaz;
- átadjuk a jelszavainkat valakinek, aki jogosulatlanul hozzáfér a személyes adatokhoz;
- nyilvánosságra hozunk egy fényképet, amelyet nem lett volna szabad;
- megtévesztéssel vagy más úton információt szereznek az adatokról illetéktelenek.
Miért kell erre ügyelni?
Mert kárt okozhatunk azoknak a személyeknek, akiknek az adatait kezeljük.
Milyen károkról beszélünk?
Például jó hírnév sérelme, pénzügyi veszteség, személyazonosság-lopás, vagy személyazonossággal visszaélés, hátrányos megkülönböztetés, stb.
Mi a teendő, ha megtörtént a baj és adatvédelmi incidens következett be?
1. Mindent el kell követni, hogy csökkentsük a további veszteséget, megelőzzük a további károkat. Ez jelentheti a rendszer helyreállítását, a korábbi biztonsági másolatok használatát, a rendszer teljes elszigetelését
2. Értékelni kell, hogy mekkora kockázattal jár az érintettekre nézve az incidens.
- Milyen adatokról van szó?
- Mennyire érzékeny adatok? (egyes adatok a személyes jellegük miatt lehetnek érzékenyek pl. egészségügyi nyilvántartás adatai, mások a következmények miatt, pl. bankszámlaadatok).
- Ha az adatokat ellopták, titkosítva voltak-e?
- Mi történt az adatokkal? Ha ellopták, tartalmaznak-e olyan információt, amely káros lehet az érintettekre, ha elvesztek vagy sérültek, helyreállíthatóak-e?
- Mit tudhat meg harmadik személy az érintettről?
- Hány személy adatait érinti a jogsértés?
- Kik azok a személyek, akinek az adatait érinti?
- Járhat-e szélesebb rétegeket érintő következménnyel az incidens? Például közbiztonságra jelent-e veszélyt, vagy a közbizalomra.
3. Értesítési kötelezettség teljesítése
- a hatóság és az érintett felé, ha az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve;
- az érintettet nem kell értesíteni, ha az adatkezelő megtette a szükséges intézkedéseket, pl. a titkosítás révén értelmezhetetlen másoknak az adat, vagy olyan intézkedéseket tett, amelyek megszüntették a kockázatot, vagy aránytalan erőfeszítést követelne az értesítés (ilyenkor a nyilvánossághoz kell fordulni).
Az adatvédelmi incidens bejelentésére várható formanyomtatvány.
A francia hatóság már készített egyet, kiindulásnak tökéletes, nagyjából ezekre lesz kíváncsi a hatóság egy bejelentésnél:
- adatkezelő neve, elérhetőségei, azonosítói;
- kapcsolattartó (adatvédelmi tisztviselő) neve, elérhetőségei;
- az értesítés típusa (teljes, részleges, kezdeti, kiegészítő);
- az incidens dátuma és időpontja;
- az incidens körülményei (titoktartás elvesztése, integritás elvesztése, rendelkezésre állás hiánya);
- az érintett személyes adatok kategóriái és tartalma (pl. személyi adatok: név, születési dátum, életkor; vagy kapcsolati adatok: e-mail cím, lakóhely, telefonszám; vagy pénzügyi adatok: bankkártya adatai stb.);
- az adatkezelő által a személyes adatok megsértéséért alkalmazott technikai és szervezeti intézkedések (megelőzés és kezelés is);
- adatfeldolgozót vett-e igénybe az incidenssel érintett adatok feldolgozására;
- az incidens leírása (helye, körülményei, konkrét események);
- az érintettek száma;
- lehetséges következmények;
- az incidensre adott válaszok (ismételt előfordulás megelőzése, szervezeti intézkedések, helyreállítás, kárenyhítés;
- érintetteket tájékoztatták-e (mikor, hány főt, milyen úton és milyen tartalommal);
- más EU tagállamot érint-e az incidens.
NAGYON fontos: az adatvédelmi incidensekről minden cégre vonatkozóan nyilvántartást kell vezetni.
A nyilvántartásnak tartalmaznia kell: az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatását, és az orvoslására tett intézkedéseket.
Ez az összefoglaló nagymértékben támaszkodik:
- a GDPR hatályos szövegére
- az angol hatóság útmutatójára (ICO)
- és a francia hatóság (CNIL) formanyomtatványára.
Ennek a cikknek a teljes szövege a merosus.hu oldalon szerepel, ők a cikk szerzői.
Nagyon jó összefoglalónak tartom, ezért raktam ki.
Jancsek Árpád