Mi minősül adatvédelmi incidensnek és mi nem?

Az Európai Parlament és a Tanács (EU) 2016/679 sz. általános adatvédelmi rendelete, ismertebb nevén GDPR (General Data Protection Regulation) 2018. május 25-től előírja, hogy az adatvédelmi incidenseket az adatkezelő legkésőbb 72 órával a tudomásszerzést követően köteles bejelenteni az adatvédelmi hatóság felé. A bejelentés csak akkor mellőzhető, ha az incidens valószínűsíthetően semmilyen kockázattal nem jár az érintettek jogaira nézve. (Ez utóbbinak az igazolása – az elszámoltathatóság követelményével összhangban – az adatkezelőt terheli.) Amennyiben az incidens magas kockázatot hordoz az érintettekre nézve, akkor az érintetteket is értesíteni kell a történtekről.

Írásunkban a gyakorlatból vett példákkal mutatjuk be, hogy mikor beszélhetünk adatvédelmi incidensről, ez hogyan ismerhető fel az adatkezelők részéről, és mikor kell az incidenst bejelenteni a hatóság felé.

Ha egy adatkezelőnél vagy adatfeldolgozójánál biztonsági esemény (pl. hacker támadás) történik, az adatkezelőnek érdemes a következő „check-listet” lefuttatnia, hogy megvalósult-e adatvédelmi incidens és azt be kell-e jelentenie a hatóságnál:

A) Annak meghatározása, hogy történt-e adatvédelmi incidens

A GDPR szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A biztonsági eseménynek tehát személyes adatokat kell érintenie és a fenti események valamelyikét kell eredményeznie (a két feltétel konjunktív). Adatvédelmi incidensről tehát akkor beszélünk, ha az alábbi két kérdésre igen a válasz.

1.) A biztonsággal kapcsolatos esemény érintett személyes adatokat?

Ha csak az adatkezelő üzleti titkainak minősülő know-howja, szellemi alkotása, gyártási módja, üzleti terve, negyedéves értékesítési számai stb. lett hozzáférhető illetéktelen személyek számára, de személyes adat nem érintett, akkor nem beszélhetünk adatvédelmi incidensről.

2.) A biztonsági esemény személyes adatok megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezte?

Nem adatvédelmi incidens, ha a biztonsági esemény ugyan érintett vagy érinthetett személyes adatokat, de az nem eredményezte a fenti események egyikét sem (adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés nem állapítható meg). Nyilvánvalóan fokozott óvatossággal kell eljárni és további vizsgálatokat kell lefolytatni abban az esetben, ha ezen események bekövetkezte nem bizonyítható, de valószínűsíthető, vagy nem zárható ki.

Adatvédelmi incidensnek minősül például, amikor egy multinacionális cég HR vezetője a céges laptopját, ami az összes munkavállaló önéletrajzát, teljesítményértékelését, szakszervezeti tagságát tartalmazza, elhagyja egy buszon.

Ha az eseményt az adatkezelő nem minősítette adatvédelmi incidensnek, akkor is javasoljuk, hogy az esemény adatvédelmi szempontú kivizsgálásáról készüljön egy jegyzőkönyv és abban az adatkezelő indokolja, hogy az eseményt miért nem minősítette adatvédelmi incidensnek. Ezt a jegyzőkönyvet célszerű az adatvédelemmel kapcsolatos iratok között megőrizni abból a célból, hogy későbbi esetleges problémák vagy kérdés esetén az adatkezelő igazolni tudja az eljárásának jogszerűségét.

B) Annak meghatározása, hogy kell-e bejelentést tenni a hatóságnál

Amennyiben az eseményeket adatvédelmi incidensnek kell minősíteni a fentiek szerint, akkor azt kell megvizsgálni, hogy az adatvédelmi incidens valószínűsíthetően kockázattal jár-e a természetes személyek jogaira és szabadságaira nézve, hiszen bejelentést csak ez esetben kell tenni.

3.) Az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve?

Ha például egy természetes személlyel kapcsolatban olyan személyes adat jelenik meg az interneten, hogy egyszer egy sorsolásos játékban nyert egy 10 ezer forintos könyvutalványt, egyéb személyes adatainak közlése nélkül, akkor ez valószínűsíthetően nem jelent kockázatot a természetes személy jogaira, szabadságára nézve.

Ha ügyfeleinknek olyan közös e-mailt küldünk ki, amelyben egymás e-mail címét látja 10 ügyfelünk, akkor – az érintettek körétől függően – szintén nem valószínű, hogy ez kockázattal járna az érintettek jogaira és szabadságaira nézve.

Valószínűsíthetően az sem jár kockázattal az érintett jogaira nézve, ha egy álláspályázó önéletrajzát a HR-es kolléga véletlenül nem a másik HR-es kollégának, hanem a  pénzügyes kollégának küldte tovább.

Kockázatot jelent az incidens, ha az adatfeldolgozó szerverét feltörik és az adatfeldolgozónál használatban lévő összes munkavállaló emailfiókjának belépési jelszavai illetéktelenek számára hozzáférhetővé váltak.

4.) A személyes adat nyilvánosságra került („biztonsági incidens”), elérhetetlenné vált („elérhetőségi incidens), vagy esetleg megváltozott („integritási incidens”)? Az eredeti állapot bármely módon helyreállítható?

Ha egy személyes adat (pl. munkavállalók munkakezdésének napja) elérhetetlenné vált a munkáltató szerverén, akkor ez önmagában jelenthet bizonyos kockázatot az érintettekre nézve, de ha az elvesztett adat más adatbázisból, vagy okiratok alapján pótolható, akkor a természetes személyes jogainak sérelmére vonatkozó kockázat elenyészőnek mondható.

Amennyiben az adatkezelő úgy minősítette a történteket, hogy bár adatvédelmi incidensről volt szó, de az nem jelentett semmiféle kockázatot az érintettek jogaira nézve, ez esetben is javasoljuk a belső jegyzőkönyv felvételét, ebben pedig annak részletes megindokolását, hogy az adatkezelő álláspontja szerint az incidens miért nem jelent kockázatot. Ezt a jegyzőkönyvet az adatvédelemmel kapcsolatos iratok között célszerű megőrizni.

C) Annak meghatározása, hogy kell-e az érintetteket értesíteni az incidensről

Az érintetteket – a hatóságon felül – akkor kell értesíteni, ha az incidens magas kockázatot jelent az érintettekre nézve.

5.) Ha az adatvédelmi incidens valószínűsíthetően kockázattal jár az egyének jogaira nézve, akkor a kockázat mértékét magasnak kell minősíteni?

Az alábbi kérdések megválaszolása segíthet a kockázat mértéknek megítélésében.

6.) Az incidens érint különleges személyes adatot (pl. etnikai kisebbséghez tartozásra, vallásos meggyőződésre, szakszervezeti tagságra, egészségi állapotra vonatkozó adat)?

Ha bármilyen különleges adattal kapcsolatban történik adatvédelmi incidens, az valószínűsíthetően magas kockázatot jelent az egyének jogaira nézve.

7.) Az incidens természetes személyekre gyakorolt hatása jelent kifejezetten súlyos következményt, például személyazonossággal történő visszaélést, jó hírnév sérelmét, jelent-e? 

Ha a személyes adat sérelme következtében az érintett személyazonosságával vissza lehet élni, illetve az érintett jó hírneve sérülhet, akkor az minden esetben a legsúlyosabb kockázatot jelenti.

8.) Az incidensben gyermekek személyes adatai érintettek?

Amennyiben igen, és bármilyen kockázatot magában hordoz az incidens, úgy a kockázatot magasnak kell minősíteni.

9.) Hány természetes személy érintett az adatvédelmi incidensben?

Amennyiben az incidens jelentős számú személyt, vagy nagyszámú kezelt adat érint, az valószínűsíthetően magas kockázatot fog jelenteni az érintettek jogaira nézve.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az adatvédelmi incidens bejelentésének minimális tartalmi elemeire tekintettel elkészített egy egységes online felületet, a NAIH Incidensbejelentő Rendszert, amely az adatkezelők részére lehetővé teszi az adatvédelmi incidens bejelentési kötelezettség elektronikus úton történő teljesítését. A felület itt érhető el.

close
ENEN