Az Európai Adatvédelmi Testület ("Testület") napokban véleményezésre közzétett iránymutatása számos példán keresztül mutatja be, hogy különböző adatvédelmi incidensek esetében milyen szempontokat érdemes az adatkezelőknek mérlegelniük ahhoz, hogy eleget tegyenek a GDPR incidenskezelésre vonatkozó rendelkezéseinek. A Testület (illetve elődje, a 29-es cikk szerinti Munkacsoport) korábban is foglalkozott már az incidenskezelésre vonatkozó alapvető elvárásokkal (lásd erről pl. itt), illetve egyes adatvédelmi hatóságok is tettek közzé incidenskezelésre vonatkozó útmutatókat (pl. AEPD, DPC). Ugyanakkor a Testület friss útmutatója ezek mellett is hasznos segédlet lehet, mivel konkrét példákon, incidenstípusokon keresztül mutatja be az adatkezelők által mérlegelendő szempontokat. (A bevezetőben maga a Testület is utal arra, hogy a GDPR alkalmazása során a hatóságok által szerzett tapasztalatok beépítésével egy gyakorlat-orientált és konkrét eseteken alapuló iránymutatása kiadása volt a célja.)
Az iránymutatás feleleveníti, hogy a 29-es cikk szerinti Munkacsoport 2014-es véleménye alapján (amely egyébként még az ún. Elektronikus hírközlési adatvédelmi irányelvre tekintettel született, de hasznos segítséget nyújt a GDPR incidensre vonatkozó szabályainak alkalmazásával kapcsolatban is) három kategóriába sorolhatók az incidensek:
- bizalmas jelleg sérülése,
- integritás sérülése,
- rendelkezésre állás sérülése.
Incidensek bekövetkezése esetén az adatkezelőknek az alábbi teendői merülnek, illetve - az incidens kockázati besorolásától függően - merülhetnek fel:
- nyilvántartásba vétel (dokumentálás),
- hatósági bejelentés,
- érintettek tájékoztatása.
Az iránymutatás tanulmányozása és az adatkezelői/adatfeldolgozói oldalon végzett műveletek kapcsán annak átgondolása és felülvizsgálata, hogy a folyamatok, rendszerek kapcsán szükséges lehet-e bármilyen változtatásra, konkrét incidensek bekövetkezésétől függetlenül is alapvető fontosságú, mivel - amint azt a Testület maga is megállapítja -
[az] incidensek önmagukban is problémát jelentenek, de egyben sérülékeny és idejétmúlt adatbiztonsági rezsim tünetei is, azaz olyan gyengeségeit mutatják a rendszernek, amelyekkel foglalkozni kell. (Iránymutatás 8. pont)
Jobb tehát megelőzni az incidenseket az adatbiztonsági eljárások és megoldások folyamatos felülvizsgálata révén, mint megvárni az incidensek bekövetkezését és csak ezt követően cselekedni. Persze nem minden incidens előzhető meg, de a folyamatos figyelem és a rendszeres felülvizsgálat jelentős kockázatcsökkentő tényező lehet.
Az iránymutatás az alábbi incidenstípusok köréből vizsgál meg fiktív (bár valós eseteken alapuló) incidenseket:
- ransomware (zsarolóprogram),
- adatok kiszivárogtatása (data exfiltration),
- belső, emberi tényezőkre visszavezethető kockázatok,
- eszközök, illetve papír alapú dokumentumok elvesztése vagy ellopása,
- téves címre postázás,
- pszichológiai manipuláció (social engineering).
A különböző szcenáriók bemutatása és értékelése mellett az iránymutatás különösen hasznos eleme az egyes incidenstípusok megelőzése, illetve a kapcsolódó kockázatok csökkentése érdekében alkalmazható technikai és szervezési intézkedések - természetesen nem kimerítő és teljes, ugyanakkor kiindulásként mindenképpen nagy segítséget jelentő - listája (lásd 2.5., 3.4., 4.3., 5.4., 6.5.).
