Az adatvédelmi incidens fogalmát nem a GDPR vezette be, ugyanakkor a GDPR számos olyan rendelkezést tartalmaz az adatvédelmi incidensekkel kapcsolatban, amelyekkel az adatkezelőknek (és az adatfeldolgozóknak is) tisztában kell lenniük.
Mi fán terem az adatvédelmi incidens?
Az adatvédelmi incidens fogalma szorosan kapcsolódik a személyes adatok integritásának és bizalmas jellegének elvéhez (5. cikk (1) f) pont): "a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve."
Az adatvédelmi incidens lényegében a személyes adatok integritásának és bizalmas jellegének a sérülését jelenti.
A GDPR-ban szereplő definíció szerint adatvédelmi incidensnek minősül "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi."
A fenti tág definíció alapján tehát nagyon sokféle adatvédelmi incidens előfordulhat, ide tartozhat például egy személyes adatokat is tartalmazó laptop elvesztése, egy informatikai rendszer megtámadása, de akár egy rossz helyre küldött levél vagy email is e körbe tartozik.
A 29-es cikk szerinti Munkacsoport (WP29) 2014-es véleménye (2014/3. sz. vélemény) számos gyakorlati példán keresztül is bemutatja, hogy mi tekinthető adatvédelmi incidensnek és ezek milyen következményekkel járhatnak. (Bár a vélemény még a 2002/58/EK irányelvre, az ún. Elektronikus hírközlési adatvédelmi irányelvre tekintettel született, de hasznos segítséget nyújt a GDPR-ra való felkészüléssel kapcsolatban is.)
Miért fontos, hogy a megtörtént adatvédelmi incidenst mielőbb kezeljék?
A GDPR Preambuluma (85. pont) rögzíti, hogy "az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között
- a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
- a hátrányos megkülönböztetést,
- a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
- a pénzügyi veszteséget,
- az álnevesítés engedély nélküli feloldását,
- a jó hírnév sérelmét,
- a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve
- a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt."
Az adatvédelmi incidensek tehát súlyos következményekkel járhatnak az érintettekre nézve, így ha megelőzni nem sikerül ezeket, fontos, hogy nagyon rövid határidőn belül intézkedések történjenek az incidensek következményeinek az elhárítása érdekében.
Mi a teendő adatvédelmi incidens előfordulása esetén?
Az adatkezelőnek több feladat is van adatvédelmi incidens előfordulása esetén:
- az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően be kell jelenteni az illetékes felügyeleti hatóságnál;
- ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről;
- az adatkezelő nyilvántartja az adatvédelmi incidenseket.
Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
Mikor nem kell bejelenteni az adatvédelmi incidenst a hatóságnak, illetve mikor nem kell az érintetteket közvetlenül értesíteni?
Ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor a bejelentés mellőzhető. (Pl. Az adatkezelő által rossz címre küldött levél, úgy érkezik vissza, hogy nem kerül felbontásra, azaz a személyes adatokhoz nem fért hozzá illetéktelen személy.)
Az érintettet nem kell az adatvédelmi incidensről tájékoztatni, ha
- az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);
- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása)
Az illetékes hatóság egyébként utasíthatja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről (lásd 58. cikk (2) e) pont).
Hogyan készülhetnek fel az adatkezelők az adatvédelmi incidensek kezelésére?
Tekintettel arra, hogy adatvédelmi incidensek bármelyik adatkezelőnél előfordulhatnak és ilyen esetekben az adatkezelőknek gyorsan kell reagálniuk, fontos, hogy az adatkezelők felkészültek legyenek ebből a szempontból is.
Az alábbi lépések megtétele általában célszerű lehet:
- az adatbiztonsági intézkedések áttekintése (figyelemmel a beépített adatvédelem elvére is);
- ha az adatkezelő adatvédelmi hatásvizsgálatot végez, akkor ki kell térni az esetleges incidensek kezelésére is;
- belső szabályzatban rendezni az incidensek kezelésével kapcsolatos teendőket, felelősségi köröket (ez tartalmazhatja a hatóság felé történő bejelentéssel kapcsolatos tennivalókat és az érintettek tájékoztatásával kapcsolatos lépéseket is);
- adatfeldolgozókkal kötött szerződések áttekintése abból a szempontból is, hogy az adatkezelő haladéktalanul értesüljön az adatfeldolgozónál történt incidensről is;
- incidensek belső nyilvántartási rendjét ki kell alakítani
Milyen szabályok vonatkoznak jelenleg Magyarországon az adatvédelmi incidensekre?
Magyarországon jelenleg az Infotv. 2015. október 1-től hatályos szabályai tartalmazzák az adatvédelmi incidensekre vonatkozó általános szabályokat és írnak elő az adatkezelőre nézve bizonyos kötelezettségeket incidens bekövetkezése esetén (az incidensekről nyilvántartást kell vezetni és az érintett kérelmére az incidensek körülményeiről tájékoztatást kell adni). A jelenleg hatályos szabályok azonban nem írnak elő bejelentési kötelezettséget a NAIH felé, illetve az érintetteket is csak kérelmükre kell tájékoztatni. Ennek megfelelően a GDPR alapján fennálló kötelezettségek teljesítésének és számonkérésének még nem alakulhatott ki gyakorlata Magyarországon.
Érdemes megjegyezni azt is, hogy az ún. Elektronikus hírközlési adatvédelmi irányelvre tekintettel az elektronikus hírközlésről szóló törvény tartalmaz szektorspecifikus szabályokat, beleértve az incidens hatóságnak történő bejelentését és az érintettek tájékoztatását is (lásd Eht. 156. §, illetve 4/2012 (I.24.) NMHH rendelet). Ezek tekintetében azonban elsősorban az Nemzeti Média- és Hírközlési Hatóságnak (NMHH), mint felügyeleti hatóságnak van jogköre. (Ugyanakkor a NAIH is szerephez juthat, mivel az Eht. szerint, "az érintett előfizetők vagy magánszemélyek értesítésére irányuló szolgáltatói kötelezettség sérelme nélkül - amennyiben a szolgáltató még nem értesítette az előfizetőt vagy magánszemélyt a személyes adatok megsértéséről - a Hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság véleményének kikérését követően, kötelezheti erre, miután megfontolta a biztonság megsértésének várható hátrányos hatásait.")
(Érdekességként érdemes hivatkozni még a NAIH egy 2013-as határozatára, amely a FAÜ Zrt-t ért hackertámadásra tekintettel lefolytatott hatósági eljárásban született. Ebben az időben az Infotv-ben még nem szerepeltek az adatvédelmi incidensre vonatkozó szabályok, így lényegében mint jogellenes adatkezelés került elbírálásra az ügy.)
Hogyan készül a NAIH az adatvédelmi incidensekkel kapcsolatos új feladatainak ellátására?
Az elérhető előzetes információk alapján a NAIH szervezetén belül külön főosztály foglalkozik majd az adatvédelmi incidensek bejelentésének a fogadásával és kezelésével. Várhatóan kialakításra kerül egy olyan online felület is, amelyen a bejelentések majd megtehetők (a tervek szerint a felület 2018. januárjában már elérhető lesz). Várható, hogy a hatóság tájékoztató anyagokkal is segíti majd a felkészülést. (A teljes interjú az adatvédelmi incidensekkel kapcsolatban dr. Osztopáni Krisztiánnal, a NAIH munkatársával elérhető itt.) Addig is érdemes a holland adatvédelmi hatóság vonatkozó iránymutatását is tanulmányozni, mivel Hollandiában 2016. januárja óta működik az adatvédelmi incidensek bejelentési rendszere és vélhetően a holland tapasztalatokból a magyar hatóság is merít majd. Továbbá hasznos támpontot nyújthat az NMHH-nak az Eht. vonatkozó szabályai kapcsán megszerzett eddigi gyakorlata is.