Ki hol is tart?

Nem könnyű a véghajrában átlátni, hogy akkor mit is kellene legkésőbb május 25-éig megvalósítani. Persze,azt látom, hogy sokak számára nincsenek kialakult folyamatok egy-egy kialakult helyzet kezelésére.

Ezért ehhez hoztam első körben egy-két "mankót", hogy könnyebb legyen az előkészület.

Adatvédelmi incidens MINTA

Itthon sajnos elég kevés minta áll a rendelkezésünkre, külföldön valahogy érezhetőbben könnyedebben veszik az akadályokat, a felkészülést. Itthon nagy a zűrzavar és sajnos azt érzékelem, hogy a NAIH nem sokat segít. Rengeteg szakmai konferencián vettem rész, sokat érdeklődtem, mégsem kaptam konrétumokat. Amit kifogásoltam, hogy véleményem szerint minden vállalkozás számára jól jönne egy hatóság által jóvá hagyott "mankó", ami kiindulási alapnak tökéletes lenne. De ilyet bármennyiszer érdeklődtem, mindig azt a választ kaptam, hogy a GDPR-t nem lehet egy sablon alá húzni.

Értem én, de... Na inkább NO COMMENT!

Szóval a francia adatvédelmi hatóság (CNIL) a magyar adatkezelők számára is hasznos formanyomtatványt rendszeresített az adatvédelmi incidensek bejelentésére. KATT IDE: francia INCIDENS MINTA

(kép forrása: https://teiss.co.uk/opinion/gdpr-keep-calm-put-cheque-book-away/  )

Egy kis ismétlés :): Mi számít adatvédelmi incidensnek?

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését… [lásd bővebben a korábbi bejegyzésem: ITT] 

Mi a folyamat bekövetkezett adatvédelmi incidens esetén?

1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 5. cikk - Illetékesség">55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. cikk: 39, 83 alap: 75, 

(A felügyeleti hatóság a saját tagállamának területén illetékes a rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására. Ha az adatkezelést a 6. cikk (1) bekezdésének c) pontja az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; vagy e) pontja az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; ezen tételek alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága* az illetékes.
Ezekben az esetekben az 6. cikk - A fő felügyeleti hatóság illetékessége">56. cikk nem alkalmazandó.
A felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.
*Jelenleg Magyarországon nincs kijelölt felügyeleti hatóság!
Legkésőbb május 8-án kellett volna az első parlamenti ülésen elfogadni az Infotörvény GDPR miatti módosításait, illetve minél gyorsabban ki kellett volna jelölni a NAIH-ot, mint hatóságot a kapcsolódó feladatok elvégzésére. Hát tudtommal nem történt meg, ezért várhatóan csak az őszi országgyűlés elé lesz előterjesztve!

Fontos! Felügyeleti szerv kijelölése mellett is kezdeményezhetők eljárások, csak nem a magyarországi adatvédelmi hatóság fogja vizsgálni az eseteket.
Viszont ha záros határidőn belül nem történik nemzeti felügyeleti szerv kiválasztása, kötelezettségszegési eljárás indítható Magyarország ellen!)

2. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
3. Az (1) bekezdésben említett bejelentésben legalább:
   1. ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
   2. közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
   3. ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
   4. ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
4. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.
5. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. cikk: 58 

(forrás: http://www.privacy-regulation.eu/hu/33.htm )

A WP 250. számú iránymutatás az adatvédelmi incidenseket a következő három
klasszikus adatbiztonsági kritériumon keresztül kategorizálja

• „Bizalmas jelleg sérülése”, ami a személyes adatok jogosulatlan vagy véletlen közzétételének vagy az ezekhez való hozzáférésnek felel meg;
•  „Integritás sérülése” alatt a személyes adatok felhatalmazás nélküli vagy véletlenül bekövetkező módosítását értjük;
•  „Rendelkezésre állás sérülése”, mely a személyes adatok véletlen vagy jogosulatlan megsemmisítésének vagy a személyes adatok elvesztésének felel meg.

Figyelem! Elképzelhető olyan adatvédelmi incidens bekövetkezése is, amely két- vagy akár mindhárom kategória alá is besorolható, és míg a „bizalmas jelleg sérülése” és az „integritás sérülése” viszonylag könnyen megfoghatóak, addig a „rendelkezésre állás sérülésének” azonosítása nem minden esetben olyan nyilvánvaló. Ilyen eset fordulhat elő például akkor, ha a biztonságos módon titkosított személyes adatok esetében elvész a titkosítás feloldására szolgáló kulcs, és a személyes adatok a biztonsági mentésből sem állíthatóak vissza.

Példa mi számít tudomásszerzésnek:

• ha harmadik személy jelzi az adatkezelőnek, hogy az ügyfeléről véletlenül személyes adatokat kapott meg és az ennek alátámasztására alkalmas bizonyítékokat juttat el az adatkezelő részére – ekkor nincs kétség
  afelől, hogy az adatkezelő tudomást szerzett az adatvédelmi incidens
  bekövetkezéséről;
• ha az adatkezelő észleli, hogy behatolás történt a hálózatába és megállapítja, hogy a hálózaton tároltak személyes adatokat, illetve, hogy azokat érintően következett be az incidens;
• ha kibertámadás elkövetője a rendszer feltörését követően felveszi a kapcsolatot az adatkezelővel, pénzt követelve, majd ezt követően az adatkezelő a rendszer átvizsgálását követően megerősíti, hogy azt valóban
  támadás érte, ilyen esetben az adatkezelőnek nyilvánvaló bizonyíték áll rendelkezésre az incidens bekövetkezéséről és a tudomásszerzéséhez sem férhet kétség.

(forrás: NAIH beszámoló )

 Jó tanács!

Érdemes egy valószínűsíthető adatvédelmi incidens feltárása és kezelése céljából  egy belső eljárásrend kialakítása. Így már a megfelelő mértékű bizonyosságok feltárása gyorsíthatók, a folyamatok átláthatóbbak és a feladatok rendszerezhetőbbek.