Az adatvédelmi incidens fogalma és kezelésére vonatkozó előírások

Az adatvédelmi incidens a GDPR 4. cikk 12. pontja értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését (rendelkezésre állás sérülése), megváltoztatását (integritás sérülése), jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést (bizalmas jelleg sérülése) eredményezi.

Az adatvédelmi incidenst az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Amennyiben az incidens az adatfeldolgozó tevékenységi körén belül valósul meg, az adatfeldolgozó azt az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

Ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni. Az ilyen jellegű bejelentések az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.

A Hatóság a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.) szerinti, elektronikus ügyintézésre kötelezett adatkezelők számára az adatvédelmi incidens bejelentéséhez formanyomtatványt biztosít (https://naih.hu/ugyinditas-formanyomtatvanyok), melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő, a Dáptv.-ben meghatározott elektronikus úton pl. hivatali tárhelyen, vagy e-Papír szolgáltatáson keresztül nyújthat be.

Az ADATKEZELŐK az adatvédelmi incidenseiket a Hatóság Incidensbejelentő Rendszerén keresztül is bejelenthetik. (https://naih.hu/adatvedelmi-incidensbejelento-rendszer)
Az incidensbejelentő portál célja kizárólag annak elősegítése, hogy az adatkezelők számára az incidensbejelentés folyamatát megkönnyítse, az panaszbenyújtásra nem szolgál.

Az elektronikus ügyintézésre nem kötelezett és azt önként sem vállaló adatkezelő postai úton a Hatóság levelezési címén (1363 Budapest, Pf. 9.), továbbá személyes átadással, személyazonosságának igazolását követően a Hatóság nyitvatartási idejében, előzetes időpont egyeztetése nélkül jelentheti be az adatvédelmi incidenst.

A Hatóság a bejelentés vizsgálata során kiemelt figyelmet fordít arra, hogy az tartalmazza-e legalább a GDPR 33. cikk (3) bekezdésében foglaltakat:

a) az adatvédelmi incidens jellege, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Az adatkezelő által vezetett adatvédelmi incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolata is a bejelentés (illetve adott esetben a tényállás tisztázó végzésre adott válasz) fontos eleme.

Az incidensekkel kapcsolatos kötelezettségek adatkezelő általi teljesítésének vizsgálatát a Hatóság az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) által szabályozott hatósági ellenőrzés keretében végzi. Ha a bejelentés, illetve annak kiegészítései nem tartalmaznak minden szükséges információt, a Hatóság a tényállás tisztázása érdekében felveszi a kapcsolatot az adatkezelővel. Amennyiben a Hatóság a hatósági ellenőrzés során a GDPR 33-34. cikkében foglalt kötelezettségek betartásával kapcsolatban jogsértést tár fel, hatósági eljárást indít; ellenkező esetben a hatósági ellenőrzést lezárja.

Az alábbiakban felsorolásra kerülnek a gyakorlatban tipikusan előforduló incidenstípusok, a Hatóság által az adatkezelőtől jellemzően elvárt kockázatcsökkentő intézkedésekkel együtt.

a) A bejelentések legjelentősebb részét a téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek adták. Az adatkezelőnek ilyenkor mindent meg kell tennie, hogy a téves címzett a birtokába jutott, személyes adatokat tartalmazó dokumentumot, üzenetet megsemmisítse/törölje. Postai küldemény esetén az adatkezelő válaszborítékkal együtt küldött újabb levélben is kérheti a téves címzettet a nem neki szóló küldemény visszaküldésére. Gondoskodnia kell továbbá az adatkezelőnek arról, hogy a tényleges címzett is megkapja az üzenetet, valamint, amennyiben például az érintett személyes adatok jellege alapján az incidens kockázatát valószínűsíthetően magasnak értékeli, tájékoztatnia kell az incidensről az érintettet. Az ilyen tájékoztatás másolatát is célszerű megküldeni a Hatóságnak. Hasonló magatartás várható el az adatkezelőtől akkor is, ha a címzettnek az egyébként neki szóló üzenettel együtt téves, személyes adatokat tartalmazó csatolmány is kiküldésre került, akár postán, akár elektronikus üzenetben.

b) E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit. Ilyenkor az incidens által a személyes adatokra jelentett kockázat csökkentése érdekében mindenképpen elvárható az adatkezelőtől, hogy a címzettekkel ismét felvéve a kapcsolatot, őket felkérje az üzenet törlésére.

c) Az adatkezelőt ért hackertámadás következtében kiszivárgott adatok. Ilyen esetben fontos az incidens által érintett adatok mihamarabbi azonosítása, az informatikai biztonsági rendszerek felülvizsgálata. Abban az esetben, ha az adatkezelőnek szakértelem hiányában nem sikerül azonosítani a támadás folyamatát, illetve részletesen feltárni az incidenshez vezető körülményeket, érdemes külső szakértőt felkérni. Amennyiben a támadás emberi tényező kihasználásával történt (pl. phising), az elhárítás folyamatából kihagyhatatlan a munkavállalók oktatása. Abban az esetben, ha informatikai hibából adódott a sérülékenység, a teljes rendszer felülvizsgálata lehet indokolt. Minden esetben elvárható az adatkezelő információbiztonsági szabályzatának felülvizsgálata.

d) Ellopott/elvesztett számítástechnikai eszközök, telefonok. Ilyen esetekben kiemelt szereppel bír az is, hogy az adatkezelő az incidenst megelőzően megfelelő figyelmet biztosított-e eszközei védelmének (jelszó, titkosítás), mellyel megakadályozható, hogy az adott eszközön tárolt adatokat illetéktelen személyek megismerhessék. Távoli hozzáférés lehetősége esetén utólag is elképzelhető az adatok eszközről való törlése. Fontos, hogy az incidensről való tudomásszerzést követően az adatkezelő azonnal azonosítsa, hogy az adott kliens milyen adatokhoz, szerverekhez fért hozzá, és milyen jogosultság került kiosztásra számára, azok pedig azonnal kerüljenek megvonásra, az érintett szervereket, szolgáltatásokat vonják vissza, illetve változtassák meg azok hozzáféréseit.

Általánosságban elmondható, hogy egy adatvédelmi incidens után, a feltárt hiányosságokat kiértékelve, az adatkezelő részéről indokolt lehet a belső folyamatok felülvizsgálata, további szűrők, ellenőrzések beiktatása a munkafolyamatba, illetve a munkatársak adatvédelmi tudatosságának növelése.

Határon átnyúló adatkezeléssel kapcsolatos incidensek

A GDPR 56. cikke értelmében az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban („one-stop-shop” mechanizmus).

Tehát a Hatóság eljárása határon átnyúló adatkezeléssel kapcsolatos incidenseknél attól függ, hogy az adatkezelő vagy az adatfeldolgozó tevékenységi központja Magyarországon található-e, vagy sem.