Amikor automatikus a bírság – tanulságok adatvédelmi incidenseknél

Megosztás Tetszik

A Nemzeti Adatvédelmi és Információszabadság Hatósághoz jelentős számban érkeznek incidensbejelentések. A felfedett incidensek nagy része emberi mulasztáshoz kapcsolódik. Gyakran nem csupán a munkavállaló mulaszt, hanem a munkáltató (adatkezelő) is: nem jelenti be időben, nem vizsgálja ki megfelelően vagy nem orvosolja megfelelően az adatvédelmi incidenst. Nézzük, mit és hogyan kellene tenni!

Ez az adatvédelmi incidens fogalma

Az Általános Adatvédelmi Rendelet (GDPR) 4. cikke szerint az „adatvédelmi incidens” a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Incidenst eredményezhet tehát például az adatállomány megsemmisülése (törlődése), az adathordozó (pendrive, laptop) elvesztése, személyes adatokhoz való indokolatlan munkavállalói hozzáférés vagy például egy küldemény (üzenet) téves címzett részére történő megküldése is. Az ilyen esetek körét (kockázatok) az adatkezelőnek előzetesen fel kell mérnie, illetve meg kell tennie a kockázatok csökkentését célzó intézkedéseket.

Ismert legyen az incidens fogalma és legyen megfelelő eljárásrend

Az adatvédelmi incidensek leggyakoribb oka, hogy sem a munkáltató, sem a munkavállalók nem ismerik az adatvédelmi incidens fogalmát, így az ellen megfelelően védekezni sem tudnak. Az adatvédelmi incidensért például az adatkezelő abban az esetben is felelősséggel tartozik, ha annak alapja az érintett ügyfél téves adatszolgáltatása (például rossz e-mail-címet adott meg), amennyiben annak megakadályozására az adatkezelő az elvárható intézkedéseket nem tette meg (igazolvány megtekintése, visszaigazoló e-mail küldése stb.).

Fontos tehát, hogy a személyes adatok kezelésével együtt járó kockázatokat az adatkezelő előzetesen felmérje, illetve a kockázatokról, valamint azok kezeléséről a munkavállalókat is megfelelően tájékoztassa. Nem csupán arra kell felhívni a figyelmet, hogy a munkavégzés során mire kell ügyelni, hanem konkrét eljárásrendnek is léteznie kell arra az esetre, ha  bekövetkezne egy adatvédelmi incidens.

Az egyes munkavállalóknak tehát ismerniük kell, hogy ki kinek, milyen formában és milyen határidővel tartozik jelentési kötelezettséggel. Hatósági vizsgálat esetén ezt az eljárásrendet, illetve az alapuljául szolgáló kockázatfelmérést a hatóság is vizsgálat tárgyává teheti.

OLVASSA TOVÁBB cikkünket, hogy megtudja a nyilvántartásba-vételi és bejelentési kötelezettség szabályait és a főbb gyakorlati szempontokat az incidens bejelentéséhez!

A teljes cikkhez előfizetőink, illetve 14 napos próba-előfizetőink férnek hozzá, ha e-mail-címük és jelszavuk megadásával belépnek az oldalra.

Ha részletesebben tájékozódna a témában, rendelje meg kiadványainkat ITT!