AZ ADATVÉDELMI INCIDENSEK KEZELÉSÉNEK SZABÁLYZATA

AZ ADATVÉDELMI INCIDENSEK KEZELÉSÉNEK SZABÁLYZATA

Az adatkezelők fontos feladata az adatvédelmi incidensek megfelelő időben való észlelése, annak megállapítása, hogy pontosan mi történt, az incidens milyen súlyú, milyen hatással lehet az érintettekre.

 

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek.

 

Az adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 

Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.

 

Az adatfeldolgozó az adatvédelmi incidenst a tudomásszerzést követően köteles az adatkezelőnek bejelenteni.

 

Az adatvédelmi incidensről szóló bejelentésben:

·         ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

·         közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

·         ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

·         ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Az tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell.

 

Meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi incidens haladéktalan megállapítása, másrészt a felügyeleti hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében

 

Az érintettet nem kell tájékoztatni, ha az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, amelyek értelmezhetetlenné teszik az adatokat; az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg; vagy a tájékoztatás aránytalan erőfeszítést tenne szükségessé.

 

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, azok tényeit, hatásait, és a megtett intézkedéseket. A nyilvántartás alapján a felügyeleti hatóság ellenőrzi az irányelvnek megfelelő eljárást.