Az első részben olvashattunk arról, hogy mit is jelent az adatvédelmi incidens, mi az egyik leggyakoribb megvalósulási formája, valamint arról is, hogy milyen intézkedéseket kell eszközölnünk a Nemzeti Adatvédelmi és Információszabadság Hatóság felé, ha már megtörtént a „baj”. (az első részt itt éred el)
Milyen további kötelezettségeink vannak az érintettek felé, azaz azok felé, akiknek a személyes adatait kezeljük?
Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a vállalkozásnak mint adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintetteket az adatvédelmi incidensről. Az adatvédelmi incidens érintettjeivel a tájékoztatásban ismertetni kell az incidens jellegét, úgy hogy az világos és közérthető legyen számukra. Továbbá az érintettekkel közölni kell az adatvédelmi tisztviselő vagy adott esetben a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét. Az adatkezelőnek tájékoztatnia kell ezen felül az érintetteket az adatvédelmi incidensből eredő, valószínűsíthető következményeket, az általa tett vagy tervezett intézkedéseket is (beleértve az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket).
Mikor nem kell tájékoztatni az érintetteket a fentieknek megfelelően?
Abban az esetben nem kell tájékoztatni az érintetteket, ha például az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, úgy hogy ezeket az intézkedéseket az adatvédelmi incidens során érintett személyes adatokra alkalmazták. Kifejezetten ilyen intézkedés, ha illetéktelen személyek számára értelmezhetetlenné teszik a személyes adatokat (pl.: titkosítás). Ugyanúgy nem kell tájékoztatni az érintettet, ha az adatkezelő az adatvédelmi incidens megvalósulása után olyan intézkedéseket eszközölt, hogy az érintettek jogaira és szabadságaira nézve valószínűsíthetően nem áll fenn a magas kockázat esélye. A harmadik eset pedig az, ha az adatkezelőre nézve a tájékoztatás aránytalan erőfeszítéssel járna. Ilyenkor elegendő a tájékoztatást olyan formában közzétenni, hogy az érintettek nyilvánosan elérhessék az adatvédelmi incidenssel kapcsolatos információkat (pl.: honlapon történő közzététel).
A következő részben arról olvashatunk majd, hogy milyen adatkezelések esetén valósul meg a magas kockázat lehetősége. Addig is, amennyiben szeretne egy adatvédelmileg megfelelő üzleti modellt felépíteni, vegye fel velünk a kapcsolatot és mi segítünk adatkezeléseit nem csak a jogszabályokhoz hangolni, hanem üzleti céljainak elérése érdekében hasznosítani.
Szeretné minél átláthatóbb formában megvalósítani a gazdasági tevékenységét, annak érdekében, hogy az ügyfelei bizalmát elnyerje és extra profitra tegyen szert? Ne habozzon, keressen meg minket még ma!
info@dataprotectionsolutions.hu
Data Protection Solutions csapata