Az előző számban (Jegyző és Közigazgatás XX. évfolyam 1. szám) a hatásvizsgálat témáját boncolgattuk, most nézzük meg a GDPR-ban [az Európai Parlament és a Tanács (EU) 2016/679. rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról] szabályozott incidenskezelés témakörét.
A hatályos Info törvény 15. §-ában (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) is találkozhatunk az incidens fogalmával. Jelenleg - mint adatkezelőnek - kötelezettségünk nyilvántartást vezetni a szervezetünknél előforduló incidensekről. Ez a dokumentálási, nyilvántartási kötelezettség a GDPR alkalmazása során is megmarad. [GDPR 33. cikk (5) bekezdés]
A GDPR alkalmazásával ez a kötelezettség módosul. Az incidensekkel kapcsolatos előírásokat a 4. cikk tartalmazza. A fogalmi meghatározása első olvasatra bonyolultnak tűnik: a 4. cikk 12. pontja értelmében az adatvédelmi incidens "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi".
Nézzük, mit is takar pontosan ez a meghatározás? Az incidens a biztonság olyan sérülése lesz, melyben személyes adatok érintettek! A biztonság sérülése pedig az az esemény, amikor az adatkezelő nem képes biztosítani a személyes adatok kezelésére előírt követelmények teljesülését.
A WP[1] 250. számú iránymutatásában (a továbbiakban: Incidensek bejelentésével kapcsolatos iránymutatás) az alábbi pontokat találjuk, amely tulajdonképpen a biztonság három klasszikus kritériuma:
- "Bizalmasság", a személyes adatok jogosulatlan vagy véletlen közzététele vagy az ezekhez való hozzáférés;
- "Rendelkezésre állás", a személyes adatok véletlen vagy jogosulatlan megsemmisítése vagy a személyes adatok elvesztése;
- "Integritás", más néven sértetlenség alatt a személyes adatok felhatalmazás nélküli véletlenül bekövetkező módosítását értjük.
Egy-egy incidens bekövetkezése esetén mindig át kell tanulmányoznunk, hogy a fent felsoroltak közül melyek sérültek és meg kell vizsgálnunk, hogy a tőlünk elvárható védelmi intézkedéseket megtettük-e? Tehát az adatkezelőnek biztosítania kell minden olyan technológiai és szervezési intézkedést, mellyel az adatait biztonságban tudhatja.
Amennyiben bekövetkezik a baj és incidenst észlelünk, a Rendelet értelmében 72 óra áll rendelkezésünkre, hogy a felügyeleti hatóságnak (Nemzeti Adatvédelmi és Információszabadság Hatóság - NAIH) bejelentsük azt. [GDPR 33. cikk (1) bekezdése úgy rendelkezik, hogy "az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve."] A bejelentés elmulasztása az alacsonyabb közigazgatási bírságot vonja maga után, ami 10 millió euró vagy a nettó árbevétel 2%-a.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
