When do you need to notify a data breach?

Az Ön által kezelt személyes adatokat elvesztették, ellopták vagy veszélyeztették?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

El kell végeznem az adatvédelmi hatásvizsgálatot?

Igen, el kell végeznie az adatvédelmi hatásvizsgálatot

Fennmaradtak-e magas kockázatok az adatvédelmi hatásvizsgálatot követően?

El kell végeznem az adatvédelmi hatásvizsgálatot?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Az adatvédelmi incidensek hátrányos következménnyel  lehetnek az Ön vállalkozására. A pénzügyi veszteségtől a bírságokig, az ügyfelek bizalmának csökkenéséig az adatvédelmi incidensek hatása jelentős lehet. Ezért elengedhetetlen a kiberbiztonságban bevált gyakorlatok és eljárások végrehajtása a biztonsági incidensek megelőzése érdekében. Ennek ellenére előfordulhat, hogy Önnél mégis adatvédelmi incidens következik be, amely megtörténtéről értesítenie kell adatvédelmi hatóságát (DPA) vagy tájékoztatnia kell az érintett személyeket.

Mi az az „adatvédelmi incidens”

Az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

A szervezeteknek tisztában kell lenniük azzal, hogy az adatvédelmi incidens sokkal tágabb fogalom, mint pusztán a személyes adatok „elvesztése”. Ide tartoznak a személyes adatok bizalmas jellegét, integritását vagy hozzáférhetőségét érintő incidensek. Fontos, hogy az adatvédelmi incidens magában foglalja azokat a biztonsági incidenseket, amelyek véletlenül történnek (például e-mail küldése a téves címzettnek, az ügyféladatokat tartalmazó USB-kulcs elvesztése, vagy azon orvosi adatok véletlen törlése, amelyekről nem áll rendelkezésre biztonsági mentés), úgymint a szándékos cselekményekből eredőek (például adathalászati támadások az ügyfelek adataihoz való hozzáférés érdekében).

Más szóval, ez magában foglalja azokat a helyzeteket, amikor valaki hozzáfér a személyes adatokhoz, vagy megfelelő felhatalmazás nélkül továbbítja azokat, vagy amikor a személyes adatok a zsaroló program titkosítása vagy véletlen elvesztése vagy megsemmisülése révén nem érhetők el. Bár a személyes adatok adatvédelmi incidense biztonsági incidensnek minősül, nem minden biztonsági incidens szükségszerűen adatvédelmi incidens (mivel előfordulhat, hogy egy adott biztonsági esemény nem érint személyes adatokat).

Az adatkezelők kötelezettségei

Ha az Ön kkv-ja adatkezelőként jár el, az adatvédelmi incidensek esetére három alapelvet kell alkalmazni.

  1. az adatvédelmi incidensek dokumentálása
  2. az adatvédelmi incidens 72 órán belül történő bejelentése az illetékes adatvédelmi hatóságnál, kivéve, ha az valószínűsíthetően nem jelent kockázatot az egyénekre nézve; és
  3. ezen adatvédelmi incidens indokolatlan késedelem nélküli tájékoztatása az érintetteknek, amennyiben az incidens valószínűsíthetően magas kockázattal jár az egyének számára.

Rendkívül fontos, hogy az adatkezelők megértsék és betartsák ezeket a kötelezettségeket, és előzetesen végrehajtsák azokat a megfelelő eljárásokat, amelyek lehetővé teszik számukra, hogy kellő időben objektíven megállapíthassák, hogy szükség van-e a fent említett értesítések bármelyikére.

Mindenesetre az adatkezelőnek minden esetben – még azokat is, amelyeket nem jelentettek be az adatvédelmi hatóságnak azon az alapon, hogy azok valószínűsíthetően nem jelentenek kockázatot – rögzítenie kell legalább az adatvédelmi incidens alapvető részleteit, azok értékelését, hatásait, valamint az általános adatvédelmi rendelet 33. cikkének (5) bekezdésében előírt válaszlépéseket.

Mit kell tenni és hogyan kell cselekedni?

Az adatvédelmi incidensről szóló bejelentés az érintett adatvédelmi hatóságnak

Az általános adatvédelmi rendelet 33. cikkének (1) bekezdése szerint minden adatvédelmi incidensről  értesíteni kell az érintett adatvédelmi hatóságot, kivéve azokat, amelyek valószínűleg nem jelentenek kockázatot az egyénekre nézve. Az értesítés megkönnyítése érdekében az adatvédelmi hatóságok olyan eljárásokat vagy online űrlapokat vezettek be, amelyek lépésről lépésre segítik Önt annak biztosítása érdekében, hogy minden szükséges információt megadjon.

Ha az adatvédelmi incidens határokon átnyúló adatkezeléssel összefüggésben történik, és bejelentésre van szükség, az adatkezelőnek – amennyiben az EGT-ben letelepedett – értesítenie kell a fő felügyeleti adatvédelmi hatóságot. Így az adatvédelmi incidensre való reagálási terv kidolgozásakor az adatkezelőnek már el kell végeznie annak értékelését, hogy melyik adatvédelmi hatóság a fő felügyeleti hatóság, amelyhez be kell jelentenie. Ha az adatkezelőnek kétségei vannak a fő felügyeleti hatóság kilétét illetően, akkor legalább az adatvédelmi incidens helye szerinti helyi adatvédelmi hatóságot értesítenie kell.

Amennyiben bejelentésre van szükség, ezt a lehető leghamarabb és az adatvédelmi incidensről való tudomásszerzést követő 72 órán belül meg kell tenni. Amennyiben ez nem lehetséges, meg kell indokolni a késedelmet. A szervezetet akkor kell „tudatosnak” tekinteni, ha észszerű bizonyosság áll fenn arról, hogy biztonsági incidens történt, és az veszélyeztette a személyes adatokat.

Annak érdekében, hogy bizonyítani lehessen az illetékes adatvédelmi hatóságnak, hogy mikor és hogyan szerzett tudomást az adatvédelmi incidensről, ajánlatos, hogy valamennyi szervezet az adatvédelmi incidensre vonatkozó belső eljárásai keretében rendelkezzen egy olyan rendszerrel, amely rögzíti, hogy hogyan és mikor szerez tudomást az incidensről, és hogyan értékelte az adatvédelmi incidens által jelentett potenciális kockázatot.

Amennyiben a 72 órás időszakon belül nem lehetséges az összes releváns információ közlése az adatvédelmi hatósággal, az értesítést több lépésben kell megtenni. A kezdeti bejelentést be kell nyújtani, és a további információkat később részletekben is meg lehet adni.

Hasonlóképpen, az általános adatvédelmi rendelet 33. cikkének (2) bekezdése értelmében, ha az Ön kkv-ja adatfeldolgozó, és egy másik szervezet nevében dolgoz fel személyes adatokat, indokolatlan késedelem nélkül be kell jelentenie az adatkezelőnek az adatvédelmi incidenst. Ez kulcsfontosságú ahhoz, hogy az adatkezelő kellő időben eleget tudjon tenni értesítési kötelezettségeinek. Az adatvédelmi incidens bejelentésére vonatkozó követelményeket az adatkezelő és az adatfeldolgozó közötti szerződésben is részletezni kell, amint azt az általános adatvédelmi rendelet 28. cikke előírja.

Az adatvédelmi incidensről szóló bejelentésben az érintett adatvédelmi hatóság felé legalább:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő (DPO) vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; és
  • ismertetni kell a kkv által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az adatvédelmi incidenssel érintett személyek tájékoztatása

Ezenkívül egyes adatvédelmi incidensekről indokolatlan késedelem nélkül értesíteni kell az érintett személyeket. Ez az eset áll fenn abban az esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személy jogaira és szabadságaira nézve.

E követelmény célja annak biztosítása, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket azokban az esetekben, amikor olyan események következtek be, amelyek valószínűsíthetően magas kockázattal járnak számukra.

Az egyéneknek nyújtott ilyen tájékoztatásokat késedelem né0lkül és adott esetben az érintett adatvédelmi hatósággal szoros együttműködésben kell megtenni. Azokban az esetekben, amikor az egyéneket érintő közvetlen kockázat csökkentése szükséges, azonnali kommunikációra lesz szükség.

Vannak olyan körülmények, amikor az adatkezelők nem kötelesek értesíteni az egyéneket, például:

  • az adatkezelő titkosította az adatokat, és a titkosítási kulcsok nem sérültek;
  • az adatkezelő olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

vagy

  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Az egyénnek címzett tájékoztatásnak világosan és közérthetően le kell írnia az adatvédelmi incidens jellegét, és tartalmaznia kell legalább a következő információkat:

  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket; és
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • A tájékoztatásnak tartalmaznia kell az érintett személyek számára az adatvédelmi incidens lehetséges hátrányos következmények enyhítésére vonatkozó ajánlásokat is.

Az adatkezelőket és -feldolgozókat arra ösztönzik, hogy előre tervezzék meg és vezessenek be olyan folyamatokat, amelyek lehetővé teszik az adatvédelmi incidens észlelését és azonnali megfékezését, az egyéneket érintő kockázat felmérését, majd annak megállapítását, hogy szükség van-e az illetékes adatvédelmi hatóság értesítésére, és szükség esetén az érintett személyek  tájékoztatására az adatvédelmi incidensről.

Mikor kell bejelentenie az adatvédelmi incidenst?

Flowchart:  When do you need to notify a data breach?