Jelen cikkünkben adatvédelmi incidens bekövetkezése esetén fennálló adatvédelmi kivizsgálás lépéseit mutatjuk be. A folyamat ismertetése végén példaként egy jogesetet ismertetünk.

Az adatvédelmi incidens fogalma

A GDPR 4. cikkének 12. pontja határozza meg az adatvédelmi incidens fogalmát. Eszerint adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ennek bekövetkezése esetén az adatkezelő nem tudja biztosítani a személyes adatok védelmére vonatkozó elveknek való megfelelést.

Az adatvédelmi incidenseket három kategóriába tudjuk sorolni:

  1. Titoktartási adatvédelmi incidens

A személyes adatok véletlen vagy felhatalmazás nélküli közlése vagy a személyes adatokhoz való hozzáférés.
Ilyen esetben a személyes adat bizalmas jellege sérül.

  1. Hozzáférhetőséggel kapcsolatos adatvédelmi incidens

A személyes adatok véletlen vagy jogosulatlan megsemmisítése vagy ezek elvesztése.
Ilyen esetben a rendelkezésre állás elve sérül.

  1. Sértetlenséggel kapcsolatos adatkezelési incidens:

A személyes adatok véletlen vagy jogosulatlan megváltoztatása.
Ez esetben az integritás, mint adatkezelési alapelv sérül.

Fontos megjegyezni, hogy a jogsértés érintheti a titoktartást, a személyes adatok sérthetetlenségét és hozzáférhetőségét egyszerre, illetve ezek bármely kombinációját is.

Mi a teendő adatvédelmi incidens bekövetkezése esetén?

Ha fennáll annak az esélye, hogy adatvédelmi incidens következett be, az első és legfontosabb feladat annak megállapítása, hogy az incidens ténylegesen bekövetkezett-e, továbbá annak felmérése, hogy az incidens valószínűsíthetően milyen kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

Főszabály szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenti az illetékes felügyeleti hatóságnak. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Tudomásszerzésnek az tekinthető, amikor az adatkezelő észszerű mértékű bizonyossággal rendelkezik arról, hogy olyan biztonsági esemény történt, amely személyes adatokkal kapcsolatos jogellenes műveletekhez vezethet.

A bejelentésnek a következőket kell tartalmaznia:

  1. ismertetni kell az adatvédelmi incidens jellegét;
  2. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. ismertetni kell az adatkezelő által az adatkezelési incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Magyarországon az illetékes felügyeleti hatóság a NAIH, amely az incidensek bejelentésére online és offline formanyomtatványt tart fenn.

A GDPR 33. cikk (1) bekezdése rögzít egy kivételt a bejelentési kötelezettség alól. Ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő mentesül e kötelezettség teljesítése alól. Ekörben példaként említhető, amikor a személyes adatok már nyilvánosan hozzáférhetőek, és az ilyen adatok közlése valószínűleg nem jelent kockázatot az egyén számára.

Mi tegyünk, ha nem áll rendelkezésre elegendő információ?

Abban az esetben, ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, lehetőség van – a 72 órás határidő betartása érdekében – a szakaszos bejelentéssel élni. Az ilyen jellegű bejelentések az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.

Az adatvédelmi incidens lehetséges következményei

Az adatvédelmi incidenseknek jelentősen hátrányos hatásai lehetnek az egyénekre. Az általános adatvédelmi rendelet szerint ilyen kár lehet többek között a személyes adataik feletti rendelkezés elvesztése vagy a jogaik korlátozása, a hátrányos megkülönböztetés, a személyazonosság-lopás vagy a személyazonossággal való visszaélés, a pénzügyi veszteség, az álnevesítés engedély nélküli feloldása, a jó hírnév sérelme, valamint a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése.

A kockázat és magas kockázat felmérése

Fontos, hogy az adatkezelő az incidensről való tudomásszerzést követően az incidens elhárítása mellett törekedjen arra is, hogy az incidenssel járó kockázatot felmérje.

A kockázat felmérésekor az érintettek jogait és szabadságait érintő kockázat valószínűségét és súlyosságát kell figyelembe venni.  A kockázatot objektív értékelés alapján kell felmérni.

A kockázat felmérésének középpontjában az incidens által veszélyeztetett személyes adatok jellege és érzékenysége kell, hogy álljon. Minél érzékenyebbek az adatok, annál nagyobb a kár bekövetkeztének kockázata az érintett egyének számára.

Milyen esetben szükséges az érintettek tájékoztatása?

A GDPR 34. cikk (1) bekezdése kimondja, hogy ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatkezelési incidens jellegét, továbbá:

  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha az érintettek tájékoztatása aránytalan erőfeszítéssel járna az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.

Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást

Az érintettet nem kell tájékoztatni az adatvédelmi incidensről, ha a következő feltételek bármelyike fennáll:

  • az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;
  • az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Nyilvántartás vezetése az adatvédelmi incidens kapcsán

Az adatkezelőnek az adatvédelmi incidensekről nyilvántartást kell vezetnie.
A nyilvántartásban fel kell tüntetni az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
A nyilvántartást meg kell őrizni, tárolni, a NAIH kérésére be kell mutatni, illetve másolatát a NAIH rendelkezésére kell bocsátani.
A nyilvántartás papír alapon és elektronikus formában is vezethető.

Fontos, hogy minden adatvédelmi incidenst nyilván kell tartani, azt is, amelyet az adatkezelő kockázatértékelést követően nem jelentett be a NAIH-nak és azt is, amelyről nem értesítette az érintetteket.

Szakaszos bejelentéssel kapcsolatos jogeset ismertetése

A következő eset segítheti a megértését adatvédelmi incidens esetén fennálló szakaszos bejelentés lehetőségéről és annak folyamatáról.

Egy adatkezelő informatikai hálozatát zsarólóvírus támadás érte.

Ilyen jellegű támadás esetén egy rosszindulatú kód titkosítja a személyes adatokat, majd a támadó a visszafejtő kódért cserében váltságdíjat kér az adatkezelőtől. Ezek a támadások általában hozzáférhetőségi adatsértésnek minősülnek, de gyakran előfordulhat titoksértés is.

Azok a számítógépek voltak érintettek, amelyekből nem szabályosan léptek ki az adatkezelő dolgozói. A zsarolóprogram letitkosította ezeket. Az incidens bekövetkezését követően nem lehetett megállapítani, hogy az adatkezelő informatikai rendszerében tárolt személyes adatok kikerültek-e.

Annak megállapítása érdekében, hogy történt-e adatvédelmi incidens, illetve, hogy ha igen, az milyen következményekkel járt, az adatkezelő informatikai vizsgálatot rendelt el. A vizsgálat megkezdését követően a rendelkezésre álló információk alapján valószínűsíthető volt, hogy adatvédelmi incidens következett be. Ennek teljes bizonyossággal való megállapítása azonban hosszabb időt vett igénybe.

Főszabály szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenti az illetékes felügyeleti hatóságnak. Tekintettel arra, hogy az adatkezelő nem rendelkezett még minden információval, a GDPR által biztosított szakaszos bejelentés lehetőségével élt. Az ilyen jellegű bejelentések esetében az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.

Nemzeti Adatvédelmi és Információszabadság Hatóság felé tett bejelentést a bejelentés megtételét követő 15 napon belül kell kiegészíteni.

Amennyiben az informatikai vizsgálatok alapján az adatvédelmi incidens magas kockázatú, úgy értesíteni kell az érintetteket, magas érintetti szám esetén közlemény közzétételével.

Az adatvédelmi incidenst követően szükséges megfelelő technikai és szervezési intézkedéseket tenni a felmerült hátrányos következmények enyhítése érdekében.

2023.12.14.

Dr. Miklós Péter, adatvédelmi ügyvéd

Németh Anna, jogi munkatárs

 

Felhasznált források:

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap