Az adatvédelmi incidens III. (Az adatvédelmi incidensek nyilvántartása)
A GDPR meghatározza az adatvédelmi incidens fogalmát és szabályozza azt, hogy az adatkezelők mely esetekben kötelesek bejelenteni az adatvédelmi incidenst az illetékes felügyeleti hatóságoknak, valamint mikor kötelesek tájékoztatni az érintetteket az adatvédelmi incidensről. Az adatkezelők kötelesek továbbá nyilvántartást vezetni az adatvédelmi incidensekről. Úgyszintén, az adatfeldolgozók kötelesek az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az adatvédelmi incidens bejelentésről, amelynek véglegesítése folyamatban van és amely a GDPR vonatkozó rendelkezéseinek (33-34. cikk és a (75)-(76), továbbá (85)-(88) preambulumbekezdések) értelmezéséről szól, valamint lehetséges adatvédelmi incidensekre hoz példákat.
Az alábbiakban kérdések és válaszok formájában foglalom össze az adatvédelmi incidensek nyilvántartására vonatkozó előírásokat. A blogom két külön bejegyzése foglalkozik az adatvédelmi incidensek felügyeleti hatóság felé történő bejelentésével, illetve az érintettek adatvédelmi incidensről való tájékoztatásával.
1. Ki köteles nyilvántartást vezetni az adatvédelmi incidensekről?
A GDPR 33. cikk (5) bekezdése szerint az adatkezelő köteles az adatvédelmi incidensek nyilvántartására. Úgyszintén, a GDPR értelmében az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket végrehajtani annak érdekében, hogy képes legyen a sebezhetőségek és biztonsági incidensek felderítésére és értékelésére. Így, az adatvédelmi incidensek dokumentálásán felül az adatkezelő köteles megfelelő folyamatokat és intézkedéseket alkalmazni abból a célból, hogy a biztonsági incidenseket időben felderítse és kezelje.
Az adatvédelmi incidens nyilvántartás tartalmával kapcsolatosan ld. az alábbi 2. kérdésre adott választ.
A fentieken túl, az elszámoltathatóság elvére tekintettel, az adatfeldolgozók számára javasolt annak dokumentált igazolása, hogy időben tájékoztatták az adatkezelőt az adatvédelmi incidensről. Ilyen módon az adatfeldolgozók képesek lehetnek annak igazolására, hogy a tudomásszerzést követően indokolatlan késedelem nélkül tájékoztatták az adatkezelőt az adatvédelmi incidensről, ahogyan azt a GDPR 33. cikk (2) bekezdése megkívánja. Ezen kötelezettség teljesítésének előfeltétele, hogy az adatfeldolgozók megfelelő technikai és szervezési intézkedéseket hajtsanak végre annak érdekében, hogy időben azonosítani tudják a biztonsági incidenseket és meg tudják állapítani azt, hogy a biztonsági incidens adatvédelmi incidensnek minősül-e. Az adatvédelmi incidensről ezt követően tájékoztatni kell az adatkezelőt. Mindez azt jelenti, hogy az adatfeldolgozóknak szükségképpen képesnek kell lenniük annak kielemzésére, hogy egy biztonsági incidens adatvédelmi incidensnek minősül-e. Ezt az elemzést dokumentálni kell.
Az adatkezelő adatvédelmi incidensről való tájékoztatásakor az adatfeldolgozó köteles az adatkezelőt tájékoztatni az adatvédelmi incidenssel kapcsolatos tényekről annak érdekében, hogy az adatkezelő teljesíteni tudja az adatvédelmi incidenssel kapcsolatos kötelezettségeit.
Az adatfeldolgozók számára ajánlott annak figyelembe vétele, hogy egy biztonsági incidens a későbbiekben adatvédelmi incidenssé válhat, amit jelenteni kell az adatkezelő részére. Ha az adatfeldolgozó nem tudja eldönteni azt, hogy egy biztonsági incidens adatvédelmi incidensnek minősül-e vagy, ha a biztonsági incidens később adatvédelmi incidenssé válhat, akkor javasolt időben tájékoztatni az adatkezelőt az incidensről.
2. Az adatfeldolgozóknak van kötelezettsége az adatvédelmi incidenssel kapcsolatban?
Ld. a fenti 1. kérdésre adott választ.
3. Hogyan köteles az adatkezelő dokumentálni az adatvédelmi incidenst?
Az adatkezelő számára ajánlott külön nyilvántartást vezetni az adatvédelmi incidensekről. Például, egy Excel táblázat vagy egy word dokumentum megfelelő lehet erre a célra.
Az adatvédelmi nyilvántartás az alábbiakat tartalmazza
a) az adatvédelmi incidenshez kapcsolódó tények, így például azt, hogy mikor történt az incidens, mikor fedezték azt fel, annak leírása, hogy mi történt (tények és körülmények), az érintettek leírása, milyen személyes adatokat érintett az incidens, az adatvédelmi incidens okának leírása;
b) az adatvédelmi incidens hatásai, azaz mik az adatvédelmi incidens (valószínű) kockázatai / következményei;
c) az orvoslásra tett intézkedések leírása, azaz az orvoslásra tett intézkedések listája, a konkrét intézkedések megtételének indokai és az intézkedések hatásai.
Ha az adatkezelő nem tájékoztatta a hatóságot / az érintetteket az adatvédelmi incidensről, akkor az adatvédelmi incidensek nyilvántartásában javasolt feltüntetni ennek indokát és magyarázatát.
Úgyszintén javasolt dokumentálni a biztonsági incidens kivizsgálásának eljárását és az adatvédelmi incidens által a természetes személyek jogaira és szabadságaira nézve jelentett lehetséges kockázatok értékelésének módszertanát. Mindez azért fontos, hogy az adatkezelő képes legyen a megfelelés igazolására.
4. Köteles az adatkezelő / adatfeldolgozó adatvédelmi incidens szabályzatot készíteni?
A GDPR nem tartalmaz olyan konkrét előírást, amely szerint az adatkezelők és adatfeldolgozók kötelesek lennének ilyen szabályzatot készíteni. Azonban a GDPR alapján az adatkezelő és az adatfeldolgozók megfelelő technikai és szervezési intézkedéseket hajtanak végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják, ideértve, többek között, adott esetben:
a) a személyes adatok álnevesítését és titkosítását;
b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.
Továbbá, az elszámoltathatóság elve alapján az adatkezelőknek és az adatfeldolgozóknak képesnek kell lenniük a GDPR-nak való megfelelés igazolására. Ez lényegében azt jelenti, hogy minden, az adatkezelő / adatfeldolgozó által megtett lépést dokumentálni kell.
A fentiek figyelembe vétele alapján, a GDPR követelményeinek való megfelelés érdekében mindenképpen javasolt, hogy az adatkezelők és adatfeldolgozók rendelkezzenek adatvédelmi incidens szabályzattal, amely tartalmazza az incidenssel kapcsolatos intézkedési tervet is. A munkavállalók adatvédelmi tudatosságának biztosítása érdekében tájékoztatni kell őket a szabályzatról és az intézkedési tervről, ezen tájékoztatást pedig dokumentálni kell. Rendszeres oktatás tartása javasolt.
5. Jellemzően mit tartalmaz az incidens szabályzat?
Az incidens szabályzat jellemzően az alábbi kérdésekkel foglalkozik:
a) a biztonsági incidens és az adatvédelmi incidens fogalma;
b) a szabályzat céljának leírása (az incidensek megelőzése és azok megfelelő kezelése);
c) a végrehajtott technikai és szervezési intézkedések leírása;
d) a belső jelentési eljárás leírása (hogyan történik az incidens jelentése);
e) az incidens belső kivizsgálásának leírása (az alkalmazott módszertan, a kockázat értékelési folyamat);
f) az intézkedési terv leírása, orvoslásra tett intézkedések;
g) az adatvédelmi incidens felügyeleti hatóság felé történő bejelentésével kapcsolatos kérdések;
h) az érintettek adatvédelmi incidensről való tájékoztatásával kapcsolatos kérdések;
i) az adatvédelmi incidensek nyilvántartásának leírása;
j) a fenti g), h) és i) pontokban foglaltak folyamatábrája;
k) az adatvédelmi incidensek utó-monitoringolása és az incidensből levont tapasztalatok.
A fenti lista csupán az incidens szabályzatban jellemzően szereplő kérdések nem kimerítő felsorolását tartalmazza.
6. Milyen szerepe van az adatvédelmi tisztviselőnek az adatvédelmi incidenssel kapcsolatban?
Ha az adatkezelő / adatfeldolgozó rendelkezik adatvédelmi tisztviselővel (DPO), a DPO fontos szerepet játszik az adatvédelmi incidensekkel kapcsolatban. Jelesül, a DPO együttműködik a felügyeleti hatósággal és kapcsolattartó pontként szolgál a felügyeleti hatóságok és az érintettek felé. Lehetőség van arra, hogy a DPO-val kötött szerződés tartalmazzon egy olyan kikötést, amely szerint a DPO köteles segíteni az adatkezelőt / adatfeldolgozót az incidens azonosításában és értékelésében, a konkrét kockázatelemzés elkészítésében és a felügyeleti hatóságok és az érintettek tájékoztatásában. Az adatvédelmi tisztviselővel kapcsolatos további részletekért, kattintson ide.
A következő bejegyzésemben az adatvédelmi hatásvizsgálattal (DPIA) kapcsolatos kérdéseket fogom körüljárni.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.