Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L törvény szerint (Aki nem bírja a jogszabályi szöveget forduljon el egy pillanatra), a biztonság a rendszer olyan – az érintett számára kielégítő – állapota, amelyben zárt, teljes körű, folytonos és kockázatokkal arányos védelem valósul meg.
Jelentsen ez bármit is, az adatvédelmi incidens nem más, mint ennek a biztonsági állapotnak a sérülése, melynek következményeként személyes adatok kerülnek veszélybe (a GDPR szerint egészen pontosan a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi).
Néhány példa adatvédelmi incidensre:
- személyes adatokat tartalmazó laptop, telefon elvesztése;
- email küldése téves címre;
- bizalmas, papír alapú iratok selejtezése során a hulladék nyilvános helyen történő elhelyezése;
- jelszó megosztása másokkal;
- adatok külső adathordozóra másolása a belső szabályok megkerülésével/megsértésével;
- tömeges email üzenetküldés címzetteknek email címük nyilvánosságra hozatalával (rejtett másolat alkalmazása nélkül);
A definíció szerint tehát szükséges feltétel, hogy az eredmény bekövetkezzen, azaz a személyes adat megsemmisüljön, elvesszen, megváltozzon, közlésre kerüljön vagy ahhoz jogosulatlanul hozzáférjenek. Önmagában tehát a biztonság sérülése nem eredményezi automatikusan az incidens bekövetkeztét. Ezt azért szükséges előzetesen tisztáznunk, mert az incidenshez kapcsolódó kötelezettségek teljesítésének ez lesz a kiinduló pontja.
Melyek ezek a kötelezettségek?
Megfelelő technológiai védelmi és szervezési intézkedés végrehajtása, amely kiterjed az alábbiakra:
- a személyes adatok olyan megfelelő technikai védelmi intézkedésekkel történő védelme, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának a valószínűségét,
- az adatvédelmi incidens haladéktalan megállapítására való képesség,
- a felügyeleti hatóságnak történő bejelentés (a GDPR előírása alapján szükség szerint),
- érintett értesítése (a GDPR előírása alapján szükség szerint),
- a bűnüldöző hatóságok jogos érdekeinek figyelembevétele (pl. az érintettekkel való idő előtti közlés problematikája).
A hatóság tájékoztatása
Amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni az illetékes felügyeleti hatóságnál (NAIH), kivéve, ha bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Amennyiben az adatfeldolgozó tevékenysége körében történik az incidens, úgy az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenti az adatkezelőnek. (Aki nyilvánvalóan köteles a GDPR által előírt további intézkedéseket megtenni.)
Az érintett tájékoztatása
Az érintettet az adatkezelő indokolatlan késedelem nélkül (lehető leghamarabb) tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. A tájékoztatás akkor mellőzhető, ha
- az adatkezelő által végrehajtott technikai és szervezési védelmi intézkedések eredményeként a személyes adatok jogosulatlan személyek számára értelmezhetetlenek vagy fel nem használhatóak;
- az adatkezelő által végrehajtott intézkedések eredményeként az incidens már nem jár magas kockázattal;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetben egyébként az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)
…és még egy kis nyilvántartás
Az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről (incidens leírása, annak hatásait és az orvoslására tett intézkedések). Ez a nyilvántartás – csakúgy mint az adatvédelmi nyilvántartás – a hatóságnak szól és egy későbbi ellenőrzés esetén vizsgálat tárgyát képezi.