Adatvédelmi incidens? Jelentést kérünk!

Adatvédelmi incidens a legjobb szándék és a legnagyobb odafigyelés mellett is előfordulhat. Lehetséges, hogy adatkezelőként mi magunk hibázunk, de válhatunk akár véletlen adatvesztés vagy kimondottan szándékos támadás, jogosulatlan felhasználás áldozatává is. Bármilyen adatvédelmi incidensről beszéljünk is, az esetleges veszélyelhárítás után a következő fontos lépés, hogy a kockázat függvényében mielőbb értesítsük erről a hatóságot is. Az alábbiakban rövid jogismertetés mellett konkrét példákon mutatjuk be, mikor szükséges, és mikor nélkülözhető a NAIH tájékoztatása.

Az adatvédelmi incidens fogalma

Ahhoz, hogy el tudjuk dönteni melyik incidenssel mit is kellene kezdjünk, legelőször elevenítsük föl röviden, mit is takar pontosan a fogalom. Az adatvédelmi incidens a GDPR szerint, "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását; jogosulatlan közlését, hozzáférését eredményezi."

Hangsúlyozzuk, hogy fontos feltétel a biztonság sérülése - a jogellenes adatkezelés önmagában ugyanis még nem incidens (ilyen pl. ha hozzájárulás nélkül, nem megfelelő jogalapon, esetleg a meghatározott tárolási időn túl tovább kezelik a személyes adatokat).

Tehát ide sorolhatunk minden olyan eseményt, ami következtében a személyes adatok (véletlenül vagy szándékosan) megsemmisülnek, megváltoztatják őket, elvesznek, jogosulatlanul hozzáférnek, vagy jogtalanul közlik azokat.

Adatvédelmi incidens példák

  • Jelszó megosztása másokkal
  • Elektronikus körlevél küldése, a rejtett másolat funkció alkalmazása nélkül (címzettek e-mail címének nyilvánosságra hozatala)
  • Személyes adatokat tartalmazó céges laptop vagy telefon elvesztése
  • Bizalmas adatokat tartalmazó iratok kiselejtezése során, a hulladék nem megsemmisítve, nyilvános helyen történt elhelyezése
  • Vállalati adatok külső adathordozóra való másolása, a céges szabályok megsértésével

Fontos, hogy kiemelten foglalkozzunk ezzel a témával, mert az előbbi felsorolás bármelyike komoly károkat okozhat. Ilyen esetekben, az érintettek az adataik feletti rendelkezést elveszítik, jogaik korlátozódnak, hátrányos megkülönböztetésben lehet részük, személyazonosság-lopás vagy visszaélés áldozatai lehetnek, anyagi veszteség érheti őket, vagy akár a jó hírnév sérelmében szenvedhetnek. A vállalat pedig a szakmai titoktartási kötelezettségében és bizalmas jellegében sérül.

Adatvédelmi incidens bejelentése

Nem lehet elégszer hangsúlyozni a személyes adatok védelmének fontosságát. Éppen ezért elengedhetetlen, hogy olyan technikai védelemmel lássuk el őket, amik eredményesen korlátozzák a személyazonossággal való visszaélés vagy az adatok egyéb módon való sérülésének a valószínűségét. Az adatvédelmi atrocitások kezelésének folyamata a gyakorlatban:

  1. Az incidens észlelése, mielőbbi megállapítása (pl. ha a téves címzett azonnal visszajelez, rögtön el is lehet kezdeni a vizsgálatot. Persze az is előfordulhat, hogy ez csak jóval később derül ki)
  2. Az incidens-nyilvántartásban rögzíteni a történteket (akkor is, ha nem kötelező a bejelentés)
  3. Bejelentés a NAIH-nak
  4. Az érintett értesítése az incidensről

A hatóság tájékoztatása adatvédelmi incidensről

Amint észleltük az incidenst - de legkésőbb 72 órával később -, kötelesek vagyunk bejelenteni a NAIH-nál az esetet. A bejelentési kötelezettség abban az esetben elhagyható, ha bizonyítani tudjuk, hogy az incidens nem jár kockázattal az érintett személy jogaira, illetve szabadságára nézve.

Az érintett személy értesítése

Az adatkezelő személynek a lehető leghamarabb tájékoztatnia kell az érintettet annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. Ez a tájékoztatás abban az esetben hagyható el, ha a személyes adatok a jogosulatlan személyek számára nem felhasználhatók vagy értelmezhetetlenek (titkosítottak). Továbbá, ha a már végrehajtott intézkedések eredményeként az incidens nem jár magas kockázattal.

Mikor jelentsük, mikor ne? A kockázat a döntő!

Hogy a már bekövetkezett incidenst be kell-e jelentenünk a NAIH-nak vagy sem az dönti el, hogy az incidens valószínűsíthetően magas kockázattal jár-e a természetes személyek – érintettek – jogaira és szabadságaira nézve.

Ha magas kockázattal jár → be kell jelenteni és az érintettet tájékoztatni kell

Ha nem jár magas kockázattal → nem kell bejelenteni és az érintettet sem kell tájékoztatni

Mit kell tartalmazzon az adatvédelmi incidens bejelentés?

Amennyiben ténylegesen bejelentésre kerül sor, a GDPR szerint az alábbi követelményeknek kell megfelelnie:

  • Adatvédelmi tisztviselő, kapcsolattartó elérhetősége
  • Az adatvédelmi incidens leírása
  • Az incidens feltételezhető következményei
  • Az orvoslására tett, vagy tervezett intézkedések leírása

A fenti információkat érdemes egyszerre elküldeni. Ha azonban ez nem lehetséges, részletekben is meg lehet adni.

A kockázatok 3 csoportba sorolhatók

  1. Az adatokhoz való jogosulatlan hozzáférés (téves e-mail, illetéktelen behatolás a rendszerbe, alkalmazásba, laptop/mobiltelefon elveszítése)
  2. Az adatok véletlen vagy jogellenes megváltoztatása (helytelen adatbevitel miatt kár éri az érintettet)
  3. Adatvesztés (rendszer meghibásodása, hozzáférhetetlenné válnak az adatok, adatkezelő gondatlan adatkezelése)

A kockázatot több tényező is növelheti. Amennyiben ezek valamelyike fennáll, szinte biztosan be kell jelenteni a hatóságnak. Mutatunk erre is példákat:

  • ha olyan jogosulatlan személyek fértek hozzá az adatokhoz, akikről okkal feltételezzük a rosszindulatot (elbocsátott kolléga; olyan címzettnek téves elküldés, akiről ugyancsak okkal gondoljuk, hogy az adatokkal, információkkal vissza fog élni),
  • amennyiben különleges adatokról van szó (GDPR 9. cikk), ezek közül kiemelhetjük az egészségügyi és pénzügyi adatokat,
  • ha nagy számú adatról vagy érintettről van szó (egy teljes adatbázishoz fértek hozzá illetéktelenek, megsemmisült egy adatbázis),
  • év alatti érintettek esetében,
  • és fokozottan, ha az előzőek közül egyszerre több is érvényes az incidensre.

Itt rövid párhuzamot vonhatunk az adatvédelmi hatásvizsgálat elvégzésével, hiszen ott is kiemelt jelentőségű a kockázatok súlyossága, értékelése. Ha pedig a NAIH „feketelistáján” szereplő incidens történik, az magas kockázattal jár - tehát bejelentési kötelezettség állhat fenn.
Az „eredendően magas kockázatú adatkezelések” hatásvizsgálati listáját a NAIH saját weboldalán sorolja fel.

Bejelentésköteles adatvédelmi incidens példák

Célszerű már az incidens-nyilvántartást eleve úgy összeállítani, hogy az összes körülményt begyűjtsük, számba vegyük, lejegyezzük. Ha például olyan adatok vesznek el, amelyeket könnyű pótolni, az az érintettnek legfeljebb bosszúságot, időveszteséget okoz.

Mindjárt más a helyzet azonban akkor, ha mondjuk egy rosszindulatú hacker feltöri egy kórház kevésbé védett nyilvántartását és vizsgálati eredmények tűnnek el. Netán újra el kell végezni egy beavatkozással járó vizsgálatot vagy épp elhalasztani egy műtétet, esetleg egy dolgozó lemásol és közzétesz egészségügyi adatokat. Az ilyen és ehhez hasonló eseteket vélhetően mind be kell jelenteni a hatóságnak.

Egy gyakoribb példát véve: ha egy hírlevél-adatbázisból eltűnnek adatok és emiatt az érintettetek nem kapják meg a direkt marketing leveleket, az nem jelent kockázatot. Ugyanis nem gyakorol hatást a feliratkozók jogaira és szabadságaira. Amikor viszont a hírlevélküldő szolgáltatás zsarolóvírus-támadás áldozatává válik és titkosították vagy meg is szerezték az adatokat, az már igenis hatással lehet az érintettekre nézve - vagyis több, mint valószínű, hogy bejelentésköteles.

Fontos kihangsúlyozni, hogy a bejelentési kötelezettséggel kapcsolatban nincs konkrét lista vagy felsorolás, hogy mit kell vagy nem kell jelenteni. Minden eset egyedi vizsgálatot kíván, és annak összes körülményeit figyelembe véve kell döntenünk. Csak egy kis érdekesség: 2020-ban a NAIH-hoz 781 incidens-bejelentés érkezett, 2021-ben 594.

Hozzá kell tennünk, hogy egy incidens bejelentése nem vonja magával automatikusan bírság kiszabását. Sokszor éppen az a baj – és a büntetés egyik oka – hogy nem történik meg a bejelentés.

Bővebben is érdekelnek az adatvédelmi incidensek!

Ha még részletesebb információkat szeretne az adatvédelmi incidensekkel kapcsolatos teendőkről, a fenti gombra kattintva olvassa el Adatvédelmi kisokos sorozatunk közérthető szakmai írásait!
Emellett webshopunk GDPR-kínálatában is szerepel egy konkrétan az incidensekkel foglalkozó összefoglaló! Hasonló tartalmakért pedig kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük!

Rovat:
Szűcs Zsolt - Crosssec Blog
Szerző:
Szűcs Zsolt
Kommunikációs menedzserként a nyelvi kiválóság elkötelezett híve – saját megfogalmazásával ő felel azért, hogy írásainkban a betűk mindig az ideális összetételben és sorrendben kövessék egymást. Hogy cikkeink, blogjaink tartalma legyen bár mindig lexikális alaposságú, a formájuk maradjon mégis érdekes, színes, olvasmányos.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram