Magas bírság jár az adatvédelmi incidens bejelentésének elmulasztásáért

2019. augusztus 22. 08:59
Adatvédelmi incidens bármikor előfordulhat egy vállalkozás működése során. Ide tartozik például az, amikor valamely alkalmazott elveszít egy adathordozót, amikor téves címzettnek szolgáltatunk személyes adatokat vagy amikor az informatikai rendszerbe valaki jogosulatlanul behatol. Incidens esetére pontos kötelezettségeket ír elő a GDPR, illetve a felügyeleti szerv is egyre több döntésében részletezi elvárásait. Ezen követelményrendszert mutatjuk be az alábbiakban:

Incidens esetén a személyes adatok kikerülnek az ellenőrzési körünkből
Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Adathordozó elvesztése esetén például a pendrive-on található adattartalomhoz ismeretlen személyek juthatnak hozzá. Téves címre küldött küldemény esetében ugyan a címzettet ismerjük, olyan személynek minősül ugyanakkor, aki az adott személyes adatok vonatkozásában adatkezelési joggal nem rendelkezik. Megfelelő védelem nélkül az informatikai rendszerünkbe behatolhatnak, így hasonlóképpen jogosulatlan személyek birtokába kerülhetnek üzleti titkaink, az általunk kezelt, munkavállalókra vagy ügyfelekre vonatkozó személyes adatok. Fontos az elején arra rámutatni, hogy az adatvédelmi incidensek megelőzéséért, megfelelő kezeléséért felelősek vagyunk.

 

Első lépés az incidens megelőzése

A GDPR alapján az adott vállalkozás a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A védekezés tehát minden esetben a kockázattal arányos. A legegyszerűbb védelmi mód a fizikai védelem. Ennek keretében ügyelünk arra, hogy a személyes adatok kezelése megfelelő, kontrollált körülmények között történjen (zárható épület, zárható szoba, behatolásvédelem stb.). Természetesen más módon is védjük az általunk kezelt személyes adatokat. A személyes adatok adathordozóra történő mentésénél például meg kell vizsgálni, hogy szükséges-e azok titkosítása, az adathordozóhoz való hozzáférés szabályozása. Adattovábbítás esetén hasonlóképpen vizsgálandó, hogy a megfelelő biztonság garantált-e a személyes adatok emailben való továbbításán keresztül. Számítógép használata esetén pedig arra is ügyelni szükséges, hogy a jelszavakat megfelelő időszakonként cseréljük, illetve bonyolult jelszavakat alkalmazzunk. Összetettebb informatikai rendszerek esetében azok ellenállóképességének vizsgálata is kiemelt fontosságú.

 

Incidens esetén bejelentési és nyilvántartási kötelezettségünk van

Abban az esetben, amennyiben az adatvédelmi incidens már bekövetkezett, a GDPR rendelkezéseinek megfelelően szükséges eljárnunk. Első lépésben értékelnünk szükséges az incidens által jelentett kockázatot. Amennyiben ez elhanyagolható, az incidens megtörténtét nyilvántartásba vesszük, más teendőnk azonban nincsen. Amennyiben az incidens az érintettek jogaira, érdekeire kockázatot jelent (kikerült az érintettek több személyazonosító adata, bankszámlaszáma, jelszavak stb.), abban az esetben az incidenst az észleléstől számított 72 órán belül be kell jelenteni a felügyeleti hatóságnak. Amennyiben ez elmarad automatikusan bírság kerül kiszabásra. Késedelmes bejelentés esetében a hatóság megvizsgálja ennek okait. Késedelmes bejelentés esetén is több alkalommal bírság került kiszabásra a késedelem indokolatlansága, illetve az adatkezelő státusza (kormányhivatal), az általa kezelt személyes adatok speciális jellege alapján (pl: bűnügyi személyes adatok). Abban az esetben pedig, amennyiben a kockázatot magasnak értékeljük, az érintetteket is tájékoztatnunk szükséges. Ennek elmaradása szintén bírságot von maga után, hiszen az érintetti tájékoztatás célja a károk enyhítése, a károkozás további következményeinek a csökkentése. Erre ugyanakkor tájékoztatás hiányában nincsen lehetőség.

 

Ne féljünk bejelenteni az incidenseket

Számos vállalkozás inkább elhallgatja az adatvédelmi incidenseket, mivel attól tart, hogy azok bejelentése hatósági vizsgálatot vonhat maga után. Bár ez a félelem megalapozott lehet, a tapasztalat az, hogy a hatóság segítő hozzáállást tanúsít, a bírságok pedig az elvárható magatartás elmulasztásához és nem pusztán az incidens bekövetkeztéhez kapcsolódnak.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

A versenyszférában a munkáltató belátására bízott a kötelező védőoltás elrendelése

2021. november 23. 09:08
Több alkalommal utaltunk arra cikkeinkben, hogy rövid időn belül várható annak jogszabályi lehetősége, hogy a munkáltatók a védőoltás felvételét a munkavállalóktól megköveteljék. Tegnap este a Magyar Közlönyben megjelentek a vonatkozó kormányrendeletek, melyek mind a versenyszférában, mind pedig a közszférában oltási kötelezettséget vezetnek be. A rendelkezéseket a versenyszféra tekintetében az alábbiakban mutatjuk be:

Erőforrás után fókuszban az EMBER - mi van a változó HR-es titulusok mögött?

2021. szeptember 23. 13:46
Már nem HR igazgató, hanem Chief People Officer, nem toborzási vezető, hanem Talent aquisition Lead, aki a tehetségeket keresi. Egyre nagyobb teret nyer emellett a Talent experience, vagyis a jelöltélményre specializálódott szakember is. De milyen megfontolások és tényleges HR szemléleti változások állnak a titulus átalakulása mögött? Lemarad a munkaerőért folytatott versenyben, aki még mindig erőforrásként és nem EMBERKÉNT tekint a munkavállalóra?