Kidobott ambuláns lapok, postán eltűnt leletek – adatvédelmi incidensek tanulságokkal

Megosztás Tetszik

Elhagyott adatokkal teli pendrive – ez csak egyike a közelmúltban tapasztalt, gondatlanságból eredő adatvédelmi incidenseknek. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) szigorú szabályokat állít fel az adatvédelmi incidensek kezelésére, illetve bejelentésére. Ezen szabályrendszer ellenére valamennyi tagállamban, így Magyarországon is rengeteg adatvédelmi incidens történik. A legjellemzőbbeket a tanulságokkal az alábbiakban foglaljuk össze.

Ez az adatvédelmi incidens, és így kell eljárni

A GDPR 4. cikke alapján adatvédelmi incidensnek a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Erre jellemző példa az adathordozó vagy küldemény elvesztése, a téves címzett részére történő adattovábbítás vagy az informatikai rendszerbe történő jogosulatlan behatolás. Amennyiben adatvédelmi incidensre kerül sor, az adatkezelőnek azt haladéktalanul ki kell vizsgálnia, illetve annak súlyosságához igazodva meg kell tenni a szükséges intézkedéseket. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázatot jelent, abban az esetben azt mind a felügyeleti hatóságnak, mind pedig az érintettnek jelezni szükséges. A jelzésre a hatóság irányában a tudomásszerzéstől számított 72 óra áll rendelkezésre. Ilyen magas kockázat hiányában az adatvédelmi incidenst azonban csupán a felügyeleti hatósághoz szükséges bejelenteni. Valamennyi adatvédelmi incidenst nyilvántartásba kell ugyanakkor venni, melyet egy egyszerű Excel-táblázatban oldhatunk meg legegyszerűbben. Amennyiben pedig kockázatot nem tárunk fel, abban az esetben csupán a nyilvántartásba vétel a kötelezettségünk. Amennyiben egy adatvédelmi incidenshez kapcsolódóan a felügyeleti hatóság vizsgálódni kezd, a következőket kell alátámasztanunk: egyrészt igazolnunk szükséges, hogy mikor és hogyan szereztünk tudomást az incidensről, valamint ezzel összefüggésben azt, hogy a szigorú értesítési határidőt a hatóság, illetve esetlegesen az érintettek felé betartottuk. Másrészt be kell mutatnunk azt, hogy az incidens kockázatát mely szempontrendszer alapján állapítottuk meg. Kockázatértékelési eljárásrenddel előzetesen tehát már rendelkeznünk szükséges. Végezetül azt kell bemutatnunk, hogy mi vezetett az adatvédelmi incidenshez, illetve milyen intézkedésekkel akadályozzuk meg annak jövőbeli megismétlődését. Miután láttuk, hogy mit, hogyan kell végeznünk, lássuk a legfrissebb gyakorlati eseteket!

Olvassa tovább cikkünket, hogy megtudja milyen hazai adatvédelmi incidensek történtek és milyen tanulságok vonhatók le belőlük!