Magas bírság jár az adatvédelmi incidens bejelentésének elmulasztásáért

2019. augusztus 22. 08:59
Adatvédelmi incidens bármikor előfordulhat egy vállalkozás működése során. Ide tartozik például az, amikor valamely alkalmazott elveszít egy adathordozót, amikor téves címzettnek szolgáltatunk személyes adatokat vagy amikor az informatikai rendszerbe valaki jogosulatlanul behatol. Incidens esetére pontos kötelezettségeket ír elő a GDPR, illetve a felügyeleti szerv is egyre több döntésében részletezi elvárásait. Ezen követelményrendszert mutatjuk be az alábbiakban:

Incidens esetén a személyes adatok kikerülnek az ellenőrzési körünkből
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adathordozó elvesztése esetén például a pendrive-on található adattartalomhoz ismeretlen személyek juthatnak hozzá. Téves címre küldött küldemény esetében ugyan a címzettet ismerjük, olyan személynek minősül ugyanakkor, aki az adott személyes adatok vonatkozásában adatkezelési joggal nem rendelkezik. Megfelelő védelem nélkül az informatikai rendszerünkbe behatolhatnak, így hasonlóképpen jogosulatlan személyek birtokába kerülhetnek üzleti titkaink, az általunk kezelt, munkavállalókra vagy ügyfelekre vonatkozó személyes adatok. Fontos az elején arra rámutatni, hogy az adatvédelmi incidensek megelőzéséért, megfelelő kezeléséért felelősek vagyunk.

 

Első lépés az incidens megelőzése

A GDPR alapján az adott vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A védekezés tehát minden esetben a kockázattal arányos. A legegyszerűbb védelmi mód a fizikai védelem. Ennek keretében ügyelünk arra, hogy a személyes adatok kezelése megfelelő, kontrollált körülmények között történjen (zárható épület, zárható szoba, behatolásvédelem stb.). Természetesen más módon is védjük az általunk kezelt személyes adatokat. A személyes adatok adathordozóra történő mentésénél például meg kell vizsgálni, hogy szükséges-e azok titkosítása, az adathordozóhoz való hozzáférés szabályozása. Adattovábbítás esetén hasonlóképpen vizsgálandó, hogy a megfelelő biztonság garantált-e a személyes adatok emailben való továbbításán keresztül. Számítógép használata esetén pedig arra is ügyelni szükséges, hogy a jelszavakat megfelelő időszakonként cseréljük, illetve bonyolult jelszavakat alkalmazzunk. Összetettebb informatikai rendszerek esetében azok ellenállóképességének vizsgálata is kiemelt fontosságú.

 

Incidens esetén bejelentési és nyilvántartási kötelezettségünk van

Abban az esetben, amennyiben az adatvédelmi incidens már bekövetkezett, a GDPR rendelkezéseinek megfelelően szükséges eljárnunk. Első lépésben értékelnünk szükséges az incidens által jelentett kockázatot. Amennyiben ez elhanyagolható, az incidens megtörténtét nyilvántartásba vesszük, más teendőnk azonban nincsen. Amennyiben az incidens az érintettek jogaira, érdekeire kockázatot jelent (kikerült az érintettek több személyazonosító adata, bankszámlaszáma, jelszavak stb.), abban az esetben az incidenst az észleléstől számított 72 órán belül be kell jelenteni a felügyeleti hatóságnak. Amennyiben ez elmarad automatikusan bírság kerül kiszabásra. Késedelmes bejelentés esetében a hatóság megvizsgálja ennek okait. Késedelmes bejelentés esetén is több alkalommal bírság került kiszabásra a késedelem indokolatlansága, illetve az adatkezelő státusza (kormányhivatal), az általa kezelt személyes adatok speciális jellege alapján (pl: bűnügyi személyes adatok). Abban az esetben pedig, amennyiben a kockázatot magasnak értékeljük, az érintetteket is tájékoztatnunk szükséges. Ennek elmaradása szintén bírságot von maga után, hiszen az érintetti tájékoztatás célja a károk enyhítése, a károkozás további következményeinek a csökkentése. Erre ugyanakkor tájékoztatás hiányában nincsen lehetőség.

 

Ne féljünk bejelenteni az incidenseket

Számos vállalkozás inkább elhallgatja az adatvédelmi incidenseket, mivel attól tart, hogy azok bejelentése hatósági vizsgálatot vonhat maga után. Bár ez a félelem megalapozott lehet, a tapasztalat az, hogy a hatóság segítő hozzáállást tanúsít, a bírságok pedig az elvárható magatartás elmulasztásához és nem pusztán az incidens bekövetkeztéhez kapcsolódnak.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Jogsértések a munkáltatók 60 százalékánál

2019. július 31. 09:30
2019 júliusában publikálta a munkaügyi hatóság első negyedévi jelentését, amely szerint az ellenőrzött 5887 munkáltató 60%-ánál (3507) tárt fel különböző szintű jogsértéseket, amelyek összesen 22 880 munkavállalót érintettek.

Gyors adalék a rabszolgatörvény körül kialakult vitához

2018. december 13. 08:04
A munkaidőkeret radikális megemelésével kapcsolatban kialakult vitához érdekes adalék lehet, hogy melyik környező országban mennyit dolgoznak a munkavállalók. Az alapvető trend egyértelmű: a munkaidő csökkentése.