Bejelentendő vagy bagatell? – Az adatvédelmi incidensekről I.

Szerző: Dr. Szigeti-Szabó Andrea, Dr. Farkas Márton | 2020.01.30 | Adatvédelem

A GDPR hatálybalépését követően született hatósági határozatok visszatérő eleme annak vizsgálata, hogy az eljárás alá vont adatkezelő eleget tett-e az adatvédelmi incidens bejelentésére vonatkozó kötelezettségének. Létezik ilyen kötelezettség? Egyáltalán mi az az adatvédelmi incidens? Ha ezekre a kérdések elbizonytalanítják, akkor kövesse figyelemmel a témával foglalkozó cikksorozatunkat!

Az adatvédelmi rendelet definíciója alapján adatvédelmi incidens az adatbiztonság olyan sérelme, amely a személyes adatok megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Külön említendő, hogy incidensként mind a jogellenesen, mind a véletlenül bekövetkező adatbiztonsági sérelmet definiálja a rendelet, tehát a sérelmet előidéző szándékától függetlenül, véletlenül előidézett események is az alábbiakban részletezett következményekkel járnak.

Az adatkezelőnek a tudomására jutott adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb a tudomásszerzést követő 72 órán belül be kell jelentenie az illetékes felügyeleti hatóságnak, Magyarországon a NAIH-nak. A GDPR egyik legfőbb alapelvének számító átláthatóság követelménye alapján ezen bejelentési kötelezettség olyannyira kiemelt feladata az adatkezelőnek, hogy elmulasztása már önmagában bírságolást vonhat maga után.

Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL

Benne kiemelt témánk: Szomszédjogok

További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.

Az EU Adatvédelmi munkacsoportjának vonatkozó iránymutatása szerint az adatvédelmi incidensek három fő kategóriáját különböztethetjük meg attól függően, hogy az adatbiztonság mely követelménye sérült az incidens következtében:

  • titoksértés: személyes adatok jogellenes vagy vétlen közlése, vagy az azokhoz való hozzáférés;
  • sértetlenség megsértése: személyes adatok jogellenes vagy vétlen módosítása;
  • hozzáférhetőség megsértése: a személyes adatokhoz való hozzáférés elvesztése vagy a személyes adatok megsemmisítése.

A kiberbiztonságot érintő támadások növekvő száma miatt egyre jelentősebb figyelmet érdemel a 3. kategória, azaz a hozzáférhetőség sérelmének kérdése. Ha például az adatkezelő egy hackertámadás következtében – akár csak átmenetileg is – nem képes hozzáférni a saját adatbázisához, ez a körülmény már önmagában adatvédelmi incidensként értékelendő, függetlenül attól, hogy ténylegesen sérülnek-e a személyes adatok.

A rendelet biztosít némi mozgásteret is az adatkezelők számára, ugyanis nem kötelező bejelenteni azokat az incidenseket, amelyek valószínűsíthetően nem járnak kockázattal a természetes személyek jogaira és szabadságaira nézve. Ezek az úgynevezett bagatell incidensek, melyek esetében az adatvédelmi kockázatok nyilvánvalóan elenyészőek. Ebben a körben azt kell mérlegelnie az adatkezelőnek, hogy az incidens alkalmas-e arra, hogy az érintettnek fizikai, vagyoni vagy nem vagyoni károkat okozzon. Amennyiben az incidens különleges személyes adatokat érint (pl. egészségügyi adatok), a bejelentési kötelezettség csak rendkívül indokolt esetben mellőzhető.

A transzparencia jegyében, kétség esetén mindenképpen érdemes a bejelentést elvégezni, ám ha mérlegelésünk eredményeképpen teljes bizonyossággal bagatellnek minősítjük az adott incidenst és mellőzzük a bejelentést, a bagatell incidenshez is kapcsolódik egy adminisztrációs feladat: az adatkezelőnek ugyanis minden incidensről nyilvántartást kell vezetnie, rögzítve benne az incidens tényállását, következményeit és az azzal összefüggésben elvégzett intézkedéseket is.

A következő cikkünkben a bejelentéssel kapcsolatos teendőket vesszük sorra. Addig is, adatkezeléssel kapcsolatos kérdésével forduljon bizalommal az Ecovis Hungary Legal szakértőihez!

A Munka Törvénykönyve magyarázata

Az Mt. és a Ptk. munkaviszonyra vonatkozó szabályai

Szerző: Dr. Horváth István, Dr. Szladovnyik Krisztina
Ár: 15.900 Ft helyett 11.900 Ft

Ossza meg ismerőseivel:

Dr. Szigeti-Szabó Andrea

Dr. Szigeti-Szabó Andrea
Ecovis Hungary Legal
Ügyvéd | Partner | Felelős akkreditált közbeszerzési szaktanácsadó
Balogh, Bihary, B. Szabó, Jean, Zalavári és Társai Ügyvédi Iroda
szigetiszabo@ecovis.hu
A szerző szakmai profilja