GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Az adatvédelmi incidens II. (Az érintettek tájékoztatása az adatvédelmi incidensről)

2018. február 09. - Kovacs Zoltan Balazs

Az adatvédelmi incidens II. (Az érintettek tájékoztatása az adatvédelmi incidensről)

A GDPR meghatározza az adatvédelmi incidens fogalmát és szabályozza azt, hogy az adatkezelők mely esetekben kötelesek bejelenteni az adatvédelmi incidenst az illetékes felügyeleti hatóságoknak, valamint mikor kötelesek tájékoztatni az érintetteket az adatvédelmi incidensről. Az adatkezelők kötelesek továbbá nyilvántartást vezetni az adatvédelmi incidensekről. Úgyszintén, az adatfeldolgozók kötelesek az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az adatvédelmi incidens bejelentésről, amelynek véglegesítése folyamatban van és amely a GDPR vonatkozó rendelkezéseinek (33-34. cikk és a (75)-(76), továbbá (85)-(88) preambulumbekezdések) értelmezéséről szól, valamint lehetséges adatvédelmi incidensekre hoz példákat.

Az alábbiakban kérdések és válaszok formájában foglalom össze az adatvédelmi incidensek érintettek részére történő bejelentésére vonatkozó előírásokat, valamint azt, hogy a természetes személyek jogaira és szabadságaira nézve fennálló kockázatok valószínűsíthetően mikor járnak magas kockázattal. Külön bejegyzésben fogom elemezni az adatvédelmi incidensek nyilvántartását.

1. Mikor kötelesek az adatkezelők tájékoztatni az érintetteket az adatvédelmi incidensről?

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Megállapítható, hogy az érintettek tájékoztatása tekintetében magasabb a küszöb, mint a felügyeleti hatóság részére teendő bejelentés esetén, mivel a felügyeleti hatóságok felé be kell jelenteni az adatvédelmi incidenst, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

2. Mikor jár az adatvédelmi incidens valószínűsíthetően magas kockázattal a természetes személyek jogaira és szabadságaira nézve?

Az adatkezelő köteles minden egyes adatvédelmi incidenst kiértékelni, azaz az elemzést esetről esetre szükséges elvégezni. Egy incidens értékelésekor számos tényezőt szükséges tekintetbe venni, úgy, mint például

- az incidens típusa (bizalmassági, integritási vagy elérhetőségi);

- a személyes adatok jellege, érzékenysége és száma;

- mennyire könnyen azonosítható az adatvédelmi incidenssel érintett természetes személy;

- a természetes személyre nézve fennálló következmények valószínűsége és súlyossága;

- kiszolgáltatott személyeket érint-e az incidens (például gyermekek, idősek, betegek);

- az érintett személyek száma;

- az adatkezelő és tevékenysége jellemzői.

A WP29 példákkal is szolgál olyan adatvédelmi incidensekre, amelyekről tájékoztatni kell az érintetteket. Például, ha

- személyek adatokat lopnak el egy biztonságos website-ról;

- az adatkezelő zsaroló vírusos támadást észlel, amely személyes adatok titkosításával jár;

- egy személy felhívja a bankot és bejelenti, hogy valaki más havi banki kimutatását kapta meg;

- egy kiber támadás következtében orvosi felvételek órákon át nem elérhetőek egy kórházban;

- egy webshopot kiber támadás ér és a támadó felhasználóneveket, jelszavakat és korábbi vásárlási adatokat tesz közzé a neten;

- direkt marketing emailt küldenek úgy, hogy a címzetteket a "to:" vagy "cc:" mezőkbe írják, így a címzett láthatja a többi címzett email címét.

Azonban, ha például egy titkosított adatokat tartalmazó laptopot ellopnak és az adatkezelőnek van back-up-ja az adatokról, akkor nem szükséges a bejelentés (feltéve, hogy a titkosítási kulcs érintetlen), vagy, ha áramszünet miatt perceken keresztül nem tudja fogadni a hívásokat az adatkezelő call center-e, akkor az elérhetőségi incidenst nem kell bejelenteni az érintetteknek.

A kockázatok elemzésével kapcsolatos további részletekért ld. az előző bejegyzésem "Az adatvédelmi incidens I. (Az adatvédelmi incidens felügyeleti hatóság részére történő bejelentése)" 4. kérdésére adott választ, amely az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) által az adatvédelmi incidensek súlyosságának értékelésére vonatkozó módszertanról kiadott ajánlásával is foglalkozik. A részletekért kattintson ide.

3. Milyen tartalmú tájékoztatást kell nyújtani az érintetteknek?

Az adatkezelő köteles legalább az alábbiak szerinti tájékoztatást adni az érintettek részére:

a) ismertetni kell az adatvédelmi incidens jellegét;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Lényeges, hogy az adatkezelő arról is tájékoztassa az érintettet, hogy hogyan tud védekezni a lehetséges hátrányos következményekkel szemben. Például, ha jelszavakat lopnak el, akkor az adatkezelő köteles tájékoztatni az érintetteket a jelszó megváltoztatásának szükségességéről. Tekintettel arra, hogy sokan ugyanazt a jelszót használják különböző online szolgáltatások igénybevétele esetén, alapvető jelentőségű a jelszó megváltoztatása, mivel ugyanazzal a jelszóval a jogosulatlan személyek hozzáférhetnek több fiókhoz is.

4. Hogyan köteles az adatkezelő tájékoztatni az érintetteket?

Az adatvédelmi incidensről jellemzően közvetlenül kell tájékoztatni az érintettet. Azonban, amennyiben a tájékoztatás aránytalan erőfeszítést tenne szükségessé, az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

A tájékoztatás megküldhető például emailen, sms-ben, weboldalon található hirdetéssel, postán vagy a nyomtatott sajtó útján. A körülményektől függően, javasolt lehet több csatornát is igénybe venni. Úgyszintén, javasolt a tájékoztatást az érintett anyanyelvén megadni annak biztosítása céljából, hogy megértsék az adatvédelmi incidenst és megtegyék a szükséges óvintézkedéseket.

A WP29 az iránymutatásban azt is hozzáteszi, hogy az adatkezelők "felvehetik a kapcsolatot a felügyeleti hatósággal és konzultálhatnak vele nemcsak arról, hogy szükséges-e tájékoztatni az érintetteket az adatvédelmi incidensről, hanem arról is, hogy milyen tartalmú üzenetet küldjenek nekik és mi a legalkalmasabb mód az érintettekkel való kapcsolatfelvételre."

5. Mikor nem szükséges tájékoztatni sz érintetteket az incidensről?

Az érintettet nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

A WP29 hangsúlyozza az iránymutatásban, hogy míg kezdetben nem feltétlen szükséges a tájékoztatás, elképzelhető, hogy a későbbiekben a kockázat szintje növekedni fog és így szükségessé válik az érintettek adatvédelmi incidensről való tájékoztatása.

Fontos megjegyezni azt is, hogy a felügyeleti hatóság elrendelheti, hogy az adatkezelő tájékoztassa az érintettet.

6. Hogyan elemezze az adatkezelő a kockázatot és magas kockázatot?

Az adatkezelő számos tényezőt köteles tekintetbe venni akkor, amikor egy incidens és az abból fakadó kockázatok értékelésére kerül sor. A kockázatok elemzésével kapcsolatos további részletekért ld. az előző bejegyzésem "Az adatvédelmi incidens I. (Az adatvédelmi incidens felügyeleti hatóság részére történő bejelentése)" 4. kérdésére adott választ. A részletekért kattintson ide.

A következő bejegyzésemben az adatvédelmi incidensek nyilvántartásával kapcsolatos kérdéseket fogom körüljárni.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr1613641862

Trackbackek, pingbackek:

Trackback: Adatvédelmi incidensek nyilvántartása 2018.07.23. 14:12:40

Az adatvédelmi incidens új fogalom az adatvédelem terén, amelyet az általános adatvédelmi rendelet (GDPR) emelt be a jogintézmények közé. A GDPR rendelet tartalmazza az adatvédelmi incidens fogalmát. Az adatvédelmi incidens a biztonság olyan sérülése,R…

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.