Hogyan kezeljük az adatvédelmi incidenseket? – Tájékoztatóval segít az Adatvédelmi Testület

Szerző(k): Dr. Farkas Márton | 2021.01.21 | Adatvédelem

Az adatvédelmi incidensek jelentősége és kezelésének nehézségei kapcsán már több cikket is készítettünk (melyek elérhetők itt és itt), amelyek keretében igyekeztünk szempontokat nyújtani a megfelelő eljárásrend kialakításához. Jelen cikkem aktualitását az Európai Adatvédelmi Testület frissen publikált Tájékoztatója adja, amely gyakorlati esetek feldolgozásával igyekszik ugyanezt a célt elérni.

Az egyelőre csak angol nyelven elérhető Tájékoztatót minden adatkezelő számára erősen ajánljuk, ugyanis amint az a bemutatásra kerülő dokumentumban is több alkalommal rögzítésre került, adatvédelmi incidens még a legjobban felkészült adatkezelőnél is bekövetkezhet. Ráadásul a Tájékoztató nemcsak arra vonatkozólag nyújt iránymutatást, hogy a már bekövetezett incidens GDPR-kompatibilis kezelése miként történjen, hanem kifejezetten hasznos adatbiztonsági tanácsokkal is szolgál az egyes példák elemzése során.

A megfelelő adatbiztonsági intézkedések fontosságát két olyan példával szemlélteti a Tájékoztató, amelyek – bár rémálomszerűnek hatnak – bármilyen adatkezelővel előfordulhatnak: az adatkezelő irodájába betörők hatolnak be és eltulajdonítják a munkavégzéshez használt laptopokat és tableteket. Az egyik példában szereplő adatkezelő semmiféle informatikai biztonsági intézkedést nem tett a betörést megelőzően annak érdekében, hogy a személyes adatokat tartalmazó elektronikai eszközök idegen kézbe kerülése ne okozzon jelentős kockázatot a személyes adatok érintettjei számára, így gyakorlatilag a betörést követően sem az adatkezelő, sem az érintettek nem képesek ráhatással lenni a betörő esetleges visszaéléseire a személyes adatok kapcsán.

Ezzel szemben a másik példában szereplő adatkezelő valamennyi elektronikai eszközét, illetve a személyes adatok kezelésére szolgáló szoftverét is erős jelszóval védetten használta, ráadásul a személyes adatok tárolása egy biztonságos központi szerveren történt, amely lehetővé tette az adatkezelő számára a betörést követően is a személyes adatokhoz való hozzáférést, illetve az eltulajdonított eszközökről való utólagos törlését.

Ennek megfelelően utóbbi adatkezelő kapcsán a betöréssel okozott adatvédelmi incidens kockázata alacsony, az adatkezelő a betörést követően is teljes körű kontrollt képes gyakorolni a személyes adatok felett, míg a betörő számára nem lehetséges az adatokhoz való hozzáférés. Következésképpen a Tájékoztató a megfelelően felkészült példabeli adatkezelő kapcsán arra a megállapításra jutott, hogy az incidens bejelentése sem a hatóság, sem az érintett részére nem szükséges az adatbiztonsági kockázat alacsony volta miatt. Ezzel szemben az elégtelen adatbiztonsági szinttel bíró másik példabeli adatkezelőnek mind a hatóságnak, mind az érintetteknek bejelentést kell tennie, előbbi nyomán ráadásul jó eséllyel egy adatvédelmi hatósági eljárásnak is alá kell majd vetnie magát.

Gyakorisága miatt szintén említésre érdemes a Tájékoztatóból a téves címzéssel kiküldött e-mailekre vonatkozó példakör. Ilyen esetben a Testület ajánlása szerint elsősorban az incidenssel érintett személyek számát, valamint a tévesen közlésre került személyes adatok terjedelmét és jellegét kell figyelembe venni a bejelentés szükségességének mérlegelése során. Ennek megfelelően pár tízes nagyságrendű érintett személyes adatának sérelme – a megfelelő intézkedések megtétele mellett – akár bagatellnek is minősíthető, ha különleges (pl. egészségügyi) adatokat nem érint.

Következésképpen a téves címre küldött, személyes adatokat tartalmazó e-mailekből eredő adatvédelmi incidensek nem igényelnek automatikusan hatósági bejelentést, ehhez ugyanakkor feltétlenül szükséges a téves címzetti kör felszólítása a tévedésből közölt személyes adatok haladéktalan törlésére.

Végezetül felhívom a figyelmet, hogy az adatvédelmi incidens belső dokumentálása még abban az esetben sem mellőzhető, ha a biztonsági problémát nem minősítettük bejelentésre kötelesnek. A GDPR kötelező előírásán túl ennek praktikus okai is vannak, hiszen egy esetleges hatósági vizsgálat során ezzel a dokumentummal igazolhatjuk a nem bejelentett incidens kapcsán elvégzett mérlegelésünket.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.