Minden vállalkozás életében előfordul, hogy a személyes adatok kezelése során adatvédelmi incidens valósul meg. Voltaképpen elkerülhetetlen, hogy ne fusson bele egy vállalkozás a gazdasági tevékenysége során egy ilyen helyzetbe. A kérdés csupán az, hogy felismeri-e az incidenst, valamint ha már megtörtént, akkor képes-e a megfelelő intézkedéseket megtenni.
Felismered az adatvédelmi incidenst?
Az adatvédelmi incidens a GDPR alapján a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Egyszerűbben megfogalmazva, ha a saját ügyfeleinkről személyes adatot kezelünk (manapság elképzelhetetlen olyan vállalkozás, ami valamilyen formában nem kezel személyes adatokat az ügyfeleiről), és példának okáért ezek a személyes adatok megsérülnek, vagy elveszítjük őket, akkor ez az incidenst dokumentálnunk és adott esetben be is kell jelentenünk Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé. Az incidensek egyik leggyakoribb formája e-mail küldése során valósul meg, amikor az ügyfelek e-mail címeit nem titkos másolatba tesszük, hanem egyszerű másolatba. Ilyenkor előfordulhat, hogy számos érintettnek a személyes adatait jogosulatlanul közöljünk, ami bejelentési kötelezettséget is vonhat maga után.
Az adatvédelmi incidens felismerésével és a megfelelő intézkedések megtételével elkerülhetjük az adatvédelmi bírságot és a vállalkozást érintő többletkiadásokat. Mindenekelőtt érdemes a vállalkozás munkavállalói számára adatvédelmi oktatást tartani, annak érdekében, hogy felismerjük az adatvédelmi incidensek megvalósulását. Olvasd el a kamerás megfigyelésre vonatkozó cikkünket, amelyben egy cipőkereskedés nem ismert fel egy adatvédelmi incidenst, és ebből kifolyólag 20.000.000,-Ft összegű bírságot szabott ki rá a hatóság.
Mit tegyünk, ha megvalósul az adatvédelmi incidens?
A vállalkozásnak mint adatkezelőnek az adatvédelmi incidenst késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie NAIH-nak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
A bejelentésben legalább
- ismertetni kell az adatvédelmi incidens jellegét, beleértve, amennyiben ez lehetséges, az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
- közölni kell az adatvédelmi tisztviselő (ha rendelkezik a vállalkozás vele) vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
- ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; és
- ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
A vállalkozás, ha nem rendelkezik maradéktalanul az előbbi információkkal, akkor lehetőség van részletekben történő bejelentésre is. Továbbá ne feledjük el, hogy adatvédelmi incidens nyilvántartást is kell készítenünk, amelyben fel kell tüntetni az incidens legfőbb jellemzőit.
Az incidenst bejelenthetjük a NAIH-nak postai vagy akár az ugyfelszolgalat@naih.hu címre küldött elektronikus formában, amelyhez segítséget nyújthat a NAIH honlapjáról letölthető bejelentő nyomtatvány.
Megjegyzendő, hogy amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a vállalkozásnak mint adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet/érintetteket az adatvédelmi incidensről.
Mit tegyél, ha bizonytalan vagy az adatvédelmi incidenssel kapcsolatban?
Az adatvédelmi incidens miatt kiszabott bírság elkerülése érdekében fordulj szakemberhez, vagy bízz meg adatvédelmi tisztviselőt, hogy maradéktalanul megfelelj az adatvédelmi kritériumoknak. Sokszor nehéz meghatározni, hogy milyen kockázattal jár az incidens, azonban egy szakértő vagy adatvédelmi tisztviselő ebben is tud segíteni. Olvasd el cikkünket, amelyben leírjuk, hogy miért érdemes szakértőre bízni az adatvédelmi megfelelést.
A munkavállalók adatvédelmi oktatása hozzájárul ahhoz, hogy a vállalkozás minimalizálja az adatvédelmi incidens megvalósulásának esélyét, valamint, ha már megtörtént, akkor a megfelelő intézkedéseket megtegye, annak érdekében, hogy elkerülje az adatvédelmi bírságot. Amennyiben gondolkodsz adatvédelmi oktatás igénybevételén, akkor tekintsd meg az oktatásspecifikus szolgáltatásunkat is.
Vedd igénybe a Data Protection Solutions szolgáltatásait, valamint, ha egy adatvédelmi incidenssel kapcsolatban kérdésed van, akkor fordulj hozzánk bizalommal, és mi tanácsot adunk vállalkozásodnak az adatvédelmi bírság elkerülése érdekében.
info@dataprotectionsolutions.hu
Data Protection Solutions csapata