Szerző(k): Dr. Szigeti-Szabó Andrea LL.M. , Dr. Farkas Márton | 2020.01.30 | Adatvédelem
A GDPR hatálybalépését követően született hatósági határozatok visszatérő eleme annak vizsgálata, hogy az eljárás alá vont adatkezelő eleget tett-e az adatvédelmi incidens bejelentésére vonatkozó kötelezettségének. Létezik ilyen kötelezettség? Egyáltalán mi az az adatvédelmi incidens? Ha ezekre a kérdések elbizonytalanítják, akkor kövesse figyelemmel a témával foglalkozó cikksorozatunkat!
Az adatvédelmi rendelet definíciója alapján adatvédelmi incidens az adatbiztonság olyan sérelme, amely a személyes adatok megsemmisítését, elvesztését, módosítását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Külön említendő, hogy incidensként mind a jogellenesen, mind a véletlenül bekövetkező adatbiztonsági sérelmet definiálja a rendelet, tehát a sérelmet előidéző szándékától függetlenül, véletlenül előidézett események is az alábbiakban részletezett következményekkel járnak.
Az adatkezelőnek a tudomására jutott adatvédelmi incidenst indokolatlan késedelem nélkül, legkésőbb a tudomásszerzést követő 72 órán belül be kell jelentenie az illetékes felügyeleti hatóságnak, Magyarországon a NAIH-nak. A GDPR egyik legfőbb alapelvének számító átláthatóság követelménye alapján ezen bejelentési kötelezettség olyannyira kiemelt feladata az adatkezelőnek, hogy elmulasztása már önmagában bírságolást vonhat maga után.
Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL
Benne kiemelt témánk: Duplájára emelkedett az apaszabadság időtartama
További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.
![](https://jogado.hu/wp-content/uploads/2018/10/news-1644696_1280.png)
Az EU Adatvédelmi munkacsoportjának vonatkozó iránymutatása szerint az adatvédelmi incidensek három fő kategóriáját különböztethetjük meg attól függően, hogy az adatbiztonság mely követelménye sérült az incidens következtében:
- titoksértés: személyes adatok jogellenes vagy vétlen közlése, vagy az azokhoz való hozzáférés;
- sértetlenség megsértése: személyes adatok jogellenes vagy vétlen módosítása;
- hozzáférhetőség megsértése: a személyes adatokhoz való hozzáférés elvesztése vagy a személyes adatok megsemmisítése.
A kiberbiztonságot érintő támadások növekvő száma miatt egyre jelentősebb figyelmet érdemel a 3. kategória, azaz a hozzáférhetőség sérelmének kérdése. Ha például az adatkezelő egy hackertámadás következtében – akár csak átmenetileg is – nem képes hozzáférni a saját adatbázisához, ez a körülmény már önmagában adatvédelmi incidensként értékelendő, függetlenül attól, hogy ténylegesen sérülnek-e a személyes adatok.
A rendelet biztosít némi mozgásteret is az adatkezelők számára, ugyanis nem kötelező bejelenteni azokat az incidenseket, amelyek valószínűsíthetően nem járnak kockázattal a természetes személyek jogaira és szabadságaira nézve. Ezek az úgynevezett bagatell incidensek, melyek esetében az adatvédelmi kockázatok nyilvánvalóan elenyészőek. Ebben a körben azt kell mérlegelnie az adatkezelőnek, hogy az incidens alkalmas-e arra, hogy az érintettnek fizikai, vagyoni vagy nem vagyoni károkat okozzon. Amennyiben az incidens különleges személyes adatokat érint (pl. egészségügyi adatok), a bejelentési kötelezettség csak rendkívül indokolt esetben mellőzhető.
A transzparencia jegyében, kétség esetén mindenképpen érdemes a bejelentést elvégezni, ám ha mérlegelésünk eredményeképpen teljes bizonyossággal bagatellnek minősítjük az adott incidenst és mellőzzük a bejelentést, a bagatell incidenshez is kapcsolódik egy adminisztrációs feladat: az adatkezelőnek ugyanis minden incidensről nyilvántartást kell vezetnie, rögzítve benne az incidens tényállását, következményeit és az azzal összefüggésben elvégzett intézkedéseket is.
A következő cikkünkben a bejelentéssel kapcsolatos teendőket vesszük sorra. Addig is, adatkezeléssel kapcsolatos kérdésével forduljon bizalommal az Ecovis Hungary Legal szakértőihez!
A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.