Az adatvédelmi incidens I. (Az adatvédelmi incidens felügyeleti hatóság részére történő bejelentése)
A GDPR meghatározza az adatvédelmi incidens fogalmát és szabályozza azt, hogy az adatkezelők mely esetekben kötelesek bejelenteni az adatvédelmi incidenst az illetékes felügyeleti hatóságoknak, valamint mikor kötelesek tájékoztatni az érintetteket az adatvédelmi incidensről. Az adatkezelők kötelesek továbbá nyilvántartást vezetni az adatvédelmi incidensekről. Úgyszintén, az adatfeldolgozók kötelesek az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az adatvédelmi incidens bejelentésről, amelynek véglegesítése folyamatban van és amely a GDPR vonatkozó rendelkezéseinek (33-34. cikk és a (75)-(76), továbbá (85)-(88) preambulumbekezdések) értelmezéséről szól, valamint lehetséges adatvédelmi incidensekre hoz példákat.
Az alábbiakban kérdések és válaszok formájában foglalom össze az adatvédelmi incidensek felügyeleti hatóságok részére történő bejelentésére vonatkozó előírásokat, valamint azt, hogy a természetes személyek jogaira és szabadságaira nézve fennálló kockázatok miként értékelhetők. Külön bejegyzésekben fogom elemezni az érintettek adatvédelmi incidensekről történő tájékoztatását, valamint az adatvédelmi incidensek nyilvántartását.
1. Mi az adatvédelmi incidens?
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A definíció alapján megállapítható, hogy az olyan biztonsági incidens, amely nem érint személyes adatot nem adatvédelmi incidens, azonban valamennyi adatvédelmi incidens biztonsági incidens.
Az adatvédelmi incidensek jellemzően az alábbi három fő kategóriába sorolhatók:
- "bizalmassági incidens": személyes adatok jogellenes vagy véletlen közlése vagy az azokhoz való jogosulatlan hozzáférés (például, ha egy hacker védett tartalmat és jelszavakat szerez meg egy website-ról);
- "integritási incidens": személyes adatok jogellenes vagy véletlen megváltoztatása (például az adatbázis olyan módon történő feltörése, hogy a hacker személyes adatokat töröl belőle);
- "elérhetőségi incidens": személyes adatok véletlen vagy jogellenes megsemmisítése, a személyes adatokhoz való hozzáférés véletlen vagy jogellenes elvesztése (például egy laptopot ellopnak és nincs back-up az adatokról).
Amennyiben egy munkavállaló véletlenül töröl egy fájlt a munkáltató rendszeréből, majd a törlést követően azonnal vagy rövid időn belül visszaállítják a fájlt, akkor ez csupán biztonsági incidensnek minősül, nem adatvédelmi incidensnek.
Amennyiben biztonsági incidens történik, az adatkezelőnek először tisztáznia kell, hogy a biztonsági incidens érint-e személyes adatokat, azaz el kell döntenie, hogy az incidens adatvédelmi incidensnek minősül-e. Az adatkezelőnek azért kell így eljárnia, mert a GDPR 33-34. cikkeiben szereplő adminisztratív kötelezettségek adatvédelmi incidenshez kapcsolódnak és nem biztonsági incidenshez. Mindez azonban nem jelenti azt, hogy az adatkezelőknek és az adatfeldolgozóknak ne lennének kötelezettségei a GDPR alapján a biztonsági incidensekkel kapcsolatban. Az adatkezelők és az adatfeldolgozók kötelesek megfelelő technikai és szervezési intézkedéseket végrehajtani a kockázat mértékének megfelelő szintű adatbiztonság garantálása érdekében. A WP29 megfogalmazásában "bármely adatbiztonsági szabályzat kulcsfontosságú eleme az, hogy lehetőség szerint előzzék meg az incidenst és, amennyiben az mégis bekövetkezik, akkor kellő időben intézkedjenek azzal kapcsolatban."
2. Mikor köteles az adatkezelő bejelenteni az adatvédelmi incidenst a felügyeleti hatóság részére?
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
Mivel a kockázat fennállása keletkezteti a hatóság felé történő bejelentési kötelezettséget, elengedhetetlen az adatvédelmi incidens megfelelő elemzése és a lehetséges negatív következményeinek azonosítása. Amikor a kockázatok elemzésére kerül sor, bizonyos tényezők figyelembe vétele szükséges, mint például
- az incidens típusa (bizalmassági, integritási vagy elérhetőségi);
- a személyes adatok jellege, érzékenysége és száma;
- mennyire könnyen azonosítható az adatvédelmi incidenssel érintett természetes személy;
- a természetes személyre nézve fennálló következmények valószínűsége és súlyossága;
- kiszolgáltatott személyeket érint-e az incidens (például gyermekek, idősek, betegek);
- az érintett személyek száma;
- az adatkezelő és tevékenysége jellemzői.
További részletekért ld. az alábbi 4. kérdésre írt választ.
3. Mikor jut az adatvédelmi incidens az adatkezelő "tudomására"?
A WP29 iránymutatásában foglaltak szerint azt, amikor az adatkezelő az adatvédelmi incidens megtörténtéről ésszerű mértékű bizonyosságot szerzett, úgy kell tekinteni, hogy az adatvédelmi incidens a tudomására jutott.
A gyakorlatban nem mindig egyértelmű annak megítélése, hogy mikor áll fenn az ésszerű mértékű bizonyosság és ezt a kérdést esetről esetre kell megvizsgálni és eldönteni. Az iránymutatás azonban hozzáteszi, hogy "azt követően, hogy egy személy, egy média szervezet vagy más forrás lehetséges incidensről tájékoztatta az adatkezelőt vagy az maga azonosított egy biztonsági incidenst, az adatkezelő rövid ideig tartó vizsgálatot folytathat le annak megállapítása végett, hogy adatvédelmi incidens történt-e. Ezen vizsgálati időszak alatt az adatkezelőt nem lehet úgy tekinteni, mint, akinek tudomása van az incidensről."
Lényeges, hogy az adatkezelő minél előbb megkezdje a vizsgálatot és megállapítsa, hogy biztonsági vagy adatvédelmi incidens történt-e. Ahhoz, hogy erre képes legyen, alapvetően fontos, hogy megfelelő belső folyamatok legyenek kialakítva és így az adatkezelő kellőképpen fel legyen készülve az incidens felderítésére és kezelésére.
4. Az adatvédelmi incidens mikor jár valószínűsíthetően kockázattal a természetes személyek jogaira és szabadságaira nézve?
A GDPR (75)-(76) preambulumbekezdései segítségül szolgálthatnak annak megítélésében, hogy mi tekinthető kockázatnak a természetes személyek jogaira és szabadságaira nézve (például személyazonosság-lopás, személyazonossággal való visszaélés, diszkrimináció, pénzügyi veszteség, jóhírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, gazdasági vagy szociális hátrány). A WP29 iránymutatásában foglaltak szerint, ha egy adatkezelő nem biztos abban, hogy fennáll(hat)-e kockázat a természetes személyek jogaira és szabadságaira nézve, az adatkezelő inkább járjon el elővigyázatosan, vélelmezze azt, hogy fennáll a kockázat és jelentse be az incidenst a felügyeleti hatóságnak.
A WP29 példákkal is szolgál olyan adatvédelmi incidensekre, amelyeket kötelező bejelenteni a felügyeleti hatóságoknak. Például, ha
- személyek adatokat lopnak el egy biztonságos website-ról;
- az adatkezelő zsaroló vírusos támadást észlel, amely személyes adatok titkosításával jár;
- egy személy felhívja a bankot és bejelenti, hogy valaki más havi banki kimutatását kapta meg;
- egy kiber támadás következtében orvosi felvételek órákon át nem elérhetőek egy kórházban;
- egy webshopot kiber támadás ér és a támadó felhasználóneveket, jelszavakat és korábbi vásárlási adatokat tesz közzé a neten;
- direkt marketing emailt küldenek úgy, hogy a címzetteket a "to:" vagy "cc:" mezőkbe írják, így a címzett láthatja a többi címzett email címét.
Azonban, ha például egy titkosított adatokat tartalmazó laptopot ellopnak és az adatkezelőnek van back-up-ja az adatokról, akkor nem szükséges a bejelentés (feltéve, hogy a titkosítási kulcs érintetlen), úgyszintén, ha áramszünet miatt perceken keresztül nem tudja fogadni a hívásokat az adatkezelő call center-e, akkor az elérhetőségi incidenst nem kell bejelenteni a hatóságnak.
Érdemes megemlíteni, hogy 2013. decemberében, az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) a német és a görög adatvédelmi hatóságokkal együttműködésben ajánlást adott ki az adatvédelmi incidensek súlyosságának értékelésére vonatkozó módszertanról. Az ajánlást azzal a céllal készítették, hogy mind az adatkezelők, mind az adatvédelmi hatóságok részére segítséget nyújtson / módszertant adjon az adatvédelmi incidensek súlyosságának értékelésére. A módszertant annak általános jellege miatt mind az adatkezelőknek, mind az adatvédelmi hatóságoknak kellő körültekintéssel kell alkalmazniuk, tekintettel arra, hogy az valamennyi incidensre nem feltétlenül alkalmazható egy az egyben. Így, az adott incidens sajátosságait minden esetben figyelembe kell venni. Azonban, a dokumentum így is nagyon hasznos információkat tartalmaz arra vonatkozóan, hogy hogyan értékelhető egy incidens.
A dokumentum felállít egy képletet, amely alapján kiértékelhető a kockázat súlyossága. A képlet az alábbiak szerinti:
SE = DPC x EI + CB
(az SE az incidens súlyosságát jelenti, a DPC az adatkezelés jellegét, az EI az érintett azonosíthatóságának nehézségi fokát, míg a CB az incidens körülményeit jelenti.)
A dokumentum kifejti, hogy hogyan kell a képlet egyes összetevőit kiértékelni. Az osztályozás alapján az alábbi négy kategóriába sorolhatók az incidensek:
- Alacsony kockázat: a természetes személyekre lényegében nincs kihatással az incidens vagy az részükre csupán kisebb kellemetlenséget okoz, amelyet gond nélkül meg tudnak oldani (pl. újra meg kell adniuk információt, idegeskedést okoz az incidens stb.);
- Közepes kockázat: a természetes személyek jelentős kellemetlenségeket tapasztalhatnak, amelyeket nehézségek árán meg tudnak oldani (extra költségek, szorongás, stressz, bizonyos szolgáltatásokhoz nem férnek hozzá, nem értik mi történik stb.);
- Magas kockázat: a természetes személyek jelentős következményekkel szembesülhetnek az incidens kapcsán, amelyeket képesek lehetnek leküzdeni, azonban csak komoly nehézségek árán (vagyoni veszteség, bank általi fekete listára helyezés, tulajdonban bekövetkező kár, állás elvesztése, egészségi állapot romlása stb.);
- Nagyon magas kockázat: a természetes személyek jelentős vagy akár visszafordíthatatlan következményekkel szembesülhetnek, amelyeket adott esetben nem képesek leküzdeni (pénzügyi nehézségek, úgy, mint például jelentős adósság vagy munkaképtelenség, hosszútávú pszichés vagy testi betegség, halál stb.).
A DPC elemen belül a dokumentum négy adat kategóriát különböztet meg, úgy, mint egyszerű, viselkedési, pénzügyi és érzékeny adat. Az incidenssel érintett adatok típusán felül, az adatok száma, az adatkezelő és a természetes személyek sajátos jellemzői és az adatok jellege figyelembe veendő és értékelendő tényezők. Amennyiben az adatok pontatlanok vagy nyilvánosan elérhetők, az szintén értékelendő. Az ajánlás egy pontozási módszert tartalmaz a DPC elem kiszámítására, amelynek értéke 1, 2, 3 vagy 4.
Az EI elem tekintetében a dokumentum négy EI szintet definiál: elenyésző, korlátozott, jelentős és maximális. A legalacsonyabb (elenyésző) pontszám azt jelenti, hogy az incidenssel érintett adatok alapján rendkívül nehéz az egyén azonosítása, míg a legmagasabb pontszám (maximális) azt jelenti, hogy az incidenssel érintett adatok alapján közvetlenül lehetséges az egyén azonosítása. Az ajánlás iránymutatást tartalmaz, amely alapján az EI értéke 0.25, 0.5, 0.75 vagy 1 az incidenssel érintett adatoktól függően, azaz attól függően, hogy közvetlen (pl. név) vagy közvetett (pl. telefonszám, email cím) azonosítókról van-e szó.
A képlet CB eleme vonatkozásában tisztázandó, hogy az incidens bizalmassági, integritási vagy elérhetőségi incidens és, hogy volt-e rossz szándék az incidens mögött. A CB értéke 0, 0.25 vagy 0.5.
Amikor a fentiek szerinti értékelés elkészül, még két továbbá tényezőt kell figyelembe venni, amelyek jóllehet közvetlenül nem jelennek meg a pontozásban, a végső értékelés szempontjából fontosak. Ezek a következők: (i) az érintettek száma meghaladja-e a százat és (ii) az incidenssel érintett adatok értelmezhetőek-e / olvashatóak-e. Például, ha erős titkosítást használtak az adatok védelméhez és a titkosító kulcs érintetlen, akkor ez jelentősen csökkenteni tudja az incidens hátrányos következményeit.
A dokumentum hozzáteszi, hogy a súlyosság értékelését be lehet emelni az adatkezelő által a felügyeleti hatóságnak megküldött bejelentésébe és fel lehet használni abból a célból is, hogy az adatkezelő és a felügyeleti hatóság kiértékelje azt, hogy szükség van-e az érintettek tájékoztatására.
5. Milyen információt kell tartalmaznia a felügyeleti hatóság felé teendő bejelentésnek?
A bejelentésben legalább
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
6. Lehetséges több részletben tájékoztatni a felügyeleti hatóságot?
Igen. Amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
Az eset körülményeitől függően elképzelhető, hogy az adatkezelő nem tudja megtenni a teljes bejelentést az adatvédelmi incidens tudomására jutásától számított 72 órán belül. Ebben az esetben az adatkezelő számára ajánlott, hogy 72 órán belül tegyen bejelentést az általa ismert tényekről és jelezze, hogy az adatvédelmi incidens kivizsgálás alatt áll és később további részleteket fog bejelenteni.
Ha az adatkezelő nem biztos abban, hogy egy adatvédelmi incidenst be kell-e jelenteni a felügyeleti hatóság részére, akkor ajánlott bejelenteni azt. Azért célszerű így eljárni, mert nincs szankciója annak, ha bejelentenek egy incidenst, amiről később kiderül, hogy nem adatvédelmi incidens vagy nem bejelentendő adatvédelmi incidens. Ezzel szemben, ha az adatkezelő nem tesz bejelentést, azonban kiderül, hogy kellett volna, akkor a hatóság bírságot szabhat ki a bejelentési kötelezettség elmulasztásáért. Továbbá, a hatóság megvizsgálhatja például azt is, hogy az adatkezelő megtette-e a megfelelő technikai és szervezési intézkedéseket.
7. Melyik felügyeleti hatóság felé kell megtenni a bejelentést, ha az adatvédelmi incidens több tagállamban érint személyeket?
Amennyiben az adatvédelmi incidens több tagállamban lévő természetes személy személyes adatait érinti és kötelező az adatvédelmi incidens bejelentése, az adatkezelő a fő felügyeleti hatóság felé kell megtegye a bejelentést, azaz annak a tagállamnak a felügyeleti hatósága felé, amelyben az adatkezelő tevékenységi központja vagy egyetlen tevékenységi helye található.
Az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében a tevékenységi központ az Unión belüli központi ügyvitel helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni.
A határon átnyúló adatkezelést végző multinacionális társaságok részére ajánlott olyan incidens intézkedési tervet kidolgozni, amely kitér arra a kérdésre is, hogy mely felügyeleti hatóság részére kell bejelenteni az adatvédelmi incidenst. A WP29 hangsúlyozza, hogy az adatkezelő proaktívan eljárva bejelentheti az adatvédelmi incidenst olyan felügyeleti hatóságnak is, amely nem a fő felügyeleti hatóság. Úgyszintén, amennyiben az adatkezelő bejelenti az adatvédelmi incidenst a fő felügyeleti hatóságnak, az adatkezelőnek célszerű jeleznie a bejelentésben, ha az adatvédelmi incidens valószínűleg több tagállamban érintett természetes személyeket.
8. Mi történik akkor, ha az adatkezelő késedelmesen teljesíti a bejelentési kötelezettséget?
A WP29 iránymutatás elismeri, hogy adódhatnak olyan helyzetek, amikor indokolt lehet, ha az adatkezelő a felügyeleti hatóság felé több, mint 72 órával azt követően jelenti be az adatvédelmi incidenst (vagy hasonló incidensek sorozatát), hogy az a tudomására jutott. Az iránymutatás tartalmazza azt, hogy "a körülményektől függően, némi időbe telhet az adatkezelőnek az incidens mértékének megállapítása és ahelyett, hogy az incidenseket egyenként bejelenti, az adatkezelő egy bejelentést tesz, amely számos nagyon hasonló incidensre vonatkozik, amelyeknek adott esetben különböző oka van."
A GDPR szerint, amennyiben a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az iránymutatás hangsúlyozza, hogy az a tény, hogy a GDPR bizonyos körülmények fennállása esetén megengedi a késői bejelentést "nem tekinthető úgy, hogy az gyakran fordul elő."
Összességében javallott elkerülni a 72 órát követően tett bejelentést és célszerű inkább megtenni azt 72 órán belül és később szükség szerint kiegészíteni a bejelentést.
9. Az adatfeldolgozók kötelesek bárkit értesíteni az adatvédelmi incidensről?
Igen. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni az adatkezelőnek.
Lényeges, hogy az adatkezelő felhívja az adatfeldolgozó figyelmét erre a kötelezettségre, mert az iránymutatás is hangsúlyozza, hogy az adatkezelő a céljai eléréséhez veszi igénybe az adatfeldolgozót, így elvben, az adatkezelő tudomására jutottnak tekintendő az adatvédelmi incidens, akkor, ha az adatfeldolgozó tudomással bír arról. Ezt figyelembe véve, jó gyakorlatnak számít, ha olyan folyamatok kialakítására kerül sor, amelyek biztosítják azt, hogy az adatfeldolgozó az adatvédelmi incidensről való tudomásszerzését követően indokolatlan késedelem nélkül bejelentse azt az adatkezelőnek és így az adatkezelő időben teljesíteni tudja a kötelezettségeit.
10. Mikor nem kell bejelenteni az adatvédelmi incidenst a hatóságnak?
Amennyiben az incidens nem érint személyes adatokat, az nem minősül adatvédelmi incidensnek, így azt nem kell bejelenteni. Továbbá, amennyiben az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor sem szükséges bejelentést tenni.
Az iránymutatás szerint, például az adatkezelő és személyzete által használt, biztonságosan titkosított mobil eszköz elvesztése nem bejelentendő, ha az adatkezelőnek van back-up-ja az adatokról, mert az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a megfelelően képzett titkosító kulcs az adatkezelő birtokában marad, akkor a személyes adatok nem lesznek értelmezhetők a hacker számára. Azonban, ha később kiderül, hogy a kulcsot feltörték vagy a titkosítás sebezhető, akkor a kockázat szintje változhat és a bejelentés megtétele szükséges lehet.
A fentieket figyelembe véve, az adatkezelők számára ajánlott az adatvédelmi incidenst figyelemmel kísérni a kezdeti értékelést, majd az intézkedési terv szerinti lépések megtételét és a GDPR 33-34. cikkei szerinti eljárást követően. Mindez ajánlott mivel a kockázat mértéke idővel olyan mértékben nőhet, hogy bejelentés és bizonyos (további) lépések megtétele lehet szükséges.
11. Vannak egyéb jogszabályok alapján fennálló további bejelentési kötelezettségek?
Igen. Például az elektronikus hírközlési szolgáltatók a személyes adatok megsértésének észlelésétől számított lehetőleg 24 órán belül kötelesek bejelenteni az esetet az illetékes nemzeti hatóságnak. Vannak és lehetnek további jogszabályok is, amelyek bizonyos szektorokban tevékenykedő adatkezelők számára írnak elő bejelentési kötelezettséget, így az adatkezelőknek mindig körültekintően kell eljárniuk és nem gondolhatják azt, hogy amennyiben teljesítették a GDPR szerinti bejelentési kötelezettségüket, akkor nem állhat fenn további tájékoztatási kötelezettség.
A következő bejegyzésemben az érintettek adatvédelmi incidensről való tájékoztatását fogom körüljárni. A részletekért kattintson ide.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.
