Ha nem tudom, nem fáj? – Az adatvédelmi incidensekről II.

Szerző: Dr. Szigeti-Szabó Andrea, Dr. Farkas Márton | 2020.02.27 | Adatvédelem

Cikksorozatunk első részében megállapítottuk, hogy minden adatvédelmi incidenst ki kell vizsgálnia az adatkezelőknek, ám a vizsgálat eredményétől függ, szükséges-e bejelentést is tenni az adatvédelmi hatóság felé.

A bejelentési kötelezettség teljesítése szempontjából kiemelt jelentőséggel bír az incidensről való tudomásszerzés időpontja, hiszen főszabály szerint ettől az időponttól számított 72 órán belül kell a bejelentést megtenni. Amennyiben 72 órán belül nem történik meg a bejelentés, a késedelmesen előterjesztett beadványban ennek indokait is részletezni kell.

Az incidensről való tudomásszerzésnek az a tudatállapot minősül, amikor az adatkezelő kellő bizonyossággal meggyőződik arról, hogy olyan, adatbiztonságot érintő probléma merült fel, amely személyes adatokat érint. Az esetek túlnyomó többségében ez az időpont egybeesik magával az adatbiztonsági problémáról való tudomásszerzéssel (pl. a munkáltatót értesítik, hogy a munkavállalók adatait tartalmazó pendrive elveszett), de a GDPR lehetőséget biztosít az adatkezelőnek, hogy meggyőződjön az értesülés megalapozottságáról is (pl. egy ügyfélpanaszból értesül a biztonsági problémáról).

Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL

Benne kiemelt témánk: Védjegyezhető névadás – hogy válasszunk levédhető nevet sikertermékünknek

További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.

A bejelentési kötelezettséggel összefüggésben jelentős feladatot hárít az adatkezelőkre önmagában az incidensekről való értesülés rendszerének kialakítása is az adatkezelő szervezetén belül. A GDPR alapelvi szinten rögzíti az adatkezelők azon kötelezettségét, amely szerint megfelelő technikai és szervezési intézkedések alkalmazásával kell biztosítani a személyes adatok biztonságát.

Jelen esetben az adatkezelő felelőssége az, hogy a szervezetrendszeren belül mindenki tudomással bírjon az adatvédelmi incidensek fogalmáról és tudjon arról, hogy milyen formában és kinek kell jelezni a felettesek közül, ha ilyen problémát észlel. Az adatkezelőnek tehát egy olyan belső protokollt kell kialakítania, amely alapján elkerülhető, hogy egy adatvédelmi incidenst az arról értesülő alkalmazottak eltitkoljanak vagy nem az intézkedni jogosult személynek jelentsék. Amennyiben az adatkezelő rendelkezik adatvédelmi tisztviselővel, praktikus megoldás, ha a tisztviselőt delegálja ezen feladat ellátására a szervezetrendszeren belül.

Előfordulhat olyan szituáció is, amikor az adatbiztonsági probléma nem is konkrétan az adatkezelő szervezetén belül merül fel, mégis az adatkezelő köteles teljesíteni a bejelentést: ilyen helyzet adódhat közös adatkezelők és adatfeldolgozók esetén.

Közös adatkezelők kapcsán fontos kiemelni, hogy nem szükséges mindegyik adatkezelőnek külön-külön teljesíteni a bejelentést, ugyanakkor a GDPR arra nem ad útmutatást, melyik adatkezelő „legyen a hunyó”. A közös adatkezelőknek megállapodásukban kell rögzíteniük a GDPR betartásáért való felelősségük megoszlását, s ennek keretében kifejezetten javasolt egy világos eljárásrendet rögzíteni az adatvédelmi incidensek jelzésének és bejelentésének módját illetően.

Gyakrabban fordul elő, hogy az adatfeldolgozó észleli az adatvédelmi incidenst, ezért a GDPR kifejezetten rögzíti, hogy az adatfeldolgozónak indokolatlan késedelem nélkül jelentenie kell az általa észlelt incidenst az adatkezelő számára. Csakúgy, mint a közös adatkezelők esetében, az adatfeldolgozókkal kötött megállapodásban is ajánlott részletesen szabályozni az incidensek jelzésének módját, hiszen az adatfeldolgozónál felmerülő mulasztásokért is az adatkezelő kerül felelősségre vonásra, ha elmarad az incidens megfelelő kezelése és bejelentése.

SZÁMLÁZÁSI KÉZIKÖNYV 2020

Minden, amit a számlázásról tudni kell

Szerző: Dr. Kelemen László

Ossza meg ismerőseivel:

Dr. Szigeti-Szabó Andrea

Dr. Szigeti-Szabó Andrea
Ecovis Hungary Legal
Ügyvéd | Partner | Felelős akkreditált közbeszerzési szaktanácsadó
Balogh, Bihary, B. Szabó, Jean, Zalavári és Társai Ügyvédi Iroda
szigetiszabo@ecovis.hu
A szerző szakmai profilja