A Piac & Profit minden, a GDPR-ral kapcsolatos cikkét itt találja!

Kérdés:

Mit nevezünk adatvédelmi incidensnek, és mi a teendő ilyen esetben?

Válasz:

Az adatvédelmi incidens akkor következik be, amikor biztonsági incidens éri az adatokat, amelyekért az ön vállalkozása/szervezete felel, melynek eredményeképpen sérül a titoktartási kötelezettség, a hozzáférhetőség vagy az integritás. Ha ez bekövetkezik és az incidens feltehetően kockázatot jelent az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, a vállalkozása/szervezete köteles bejelenteni az esetet a felügyeleti hatóságnál. Amennyiben vállalkozása/szervezete adatfeldolgozó, minden adatvédelmi incidenst jelentenie kell az adatkezelőnek.

Amennyiben az adatvédelmi incidens nagy kockázatot jelent az érintettekre nézve, őket is tájékoztatni kell (hacsak nincsenek korábban bevezetett hatékony technikai és szervezési védelmi intézkedések vagy egyéb intézkedések, amelyek biztosítják, hogy a kockázat bekövetkezése már nem valószínű).

Szervezetként létfontosságú a megfelelő technikai és szervezési intézkedések végrehajtása a személyes adatok esetleges megsértésének elkerülése érdekében.

Itt elérhető az Európai Bizottság adatvédelemmel kapcsolatos tájékoztatása!

Példák

A szervezetnek értesítenie kell az adatvédelmi hatóságot és az érintetteket Egy textilipari vállalkozás alkalmazottainak adatai nyilvánosságra kerültek. Az adatok között szerepel az alkalmazottak lakcíme, családi állapota, havi bevétele és minden alkalmazott egészségügyi kiadása. Ebben az esetben a textilipari vállalkozásnak értesítenie kell a felügyeleti hatóságot az incidensről. Mivel a személyes adatok különleges adatokat (például egészségügyi adatokról) tartalmaznak, a vállalkozásnak az alkalmazottakat is tájékoztatnia kell.

Egy kórházi dolgozó úgy dönt, hogy lemásolja a betegek adatait egy CD-re és közzéteszi őket az interneten. A kórház néhány nappal később felfedezi a történteket. Amint a kórház számára kiderül a jogsértés, 72 órán belül értesítenie kell a felügyeleti hatóságot, és mivel a személyes adatok különleges adatokat tartalmaznak – például egyes betegek esetében rák, terhesség stb. –, tájékoztatnia kell a betegeket is. Ebben az esetben kétséges, hogy a kórház megfelelő technikai és szervezési intézkedéseket hajtott végre. Ha kórház megfelelő védelmi intézkedéseket hozott volna (pl.az adatok titkosításával), nem állt volna fenn valós kockázata annak, hogy ilyen incidens bekövetkezik, és nem volna szükség a betegek értesítésére.

A vállalkozásnak tájékoztatnia kell az ügyfeleit, akiknek értesíteniük kell a felügyeleti hatóságot és az érintetteket Egy felhőalapú tárolást nyújtó szolgáltató számos merevlemezt veszít el, amelyeken különböző ügyfelek személyes adatai találhatók. A vállalkozásnak azonnal tájékoztatnia kell az ügyfeleit, amint az incidensről tudomást szerzett. Az ügyfeleknek tájékoztatniuk kell a felügyeleti hatóságot és az érintetteket attól függően, hogy az adatfeldolgozó milyen adatokat dolgozott fel.

Előző kérdés: Mit jelent a „beépített” és az „alapértelmezett” adatvédelem?