GDPR útmutató

Tanácsadás ◆ Audit ◆ KKV támogatás ◆ DPO képzés ◆ Kamarai programok ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

A hatóság értesítése

A korábbi részben már tárgyaltuk, hogy mik is az adatvédelmi incidensek. Az ilyen incidensek egy jelentős részével semmit nem kell kezdenünk, feljegyezzük az incidens nyilvántartásunkba, átgondoljuk, hogy mit lehet tenni, hogy legközelebb ne legyen ilyen jellegű probléma. Ám ha az incidens jellege és súlyossága indokolja, akkor a hatóság felé is jeleznünk kell, hogy nálunk ilyen történt.

Az adatvédelmi incidenst csak akkor kell bejelenteni, ha az valamilyen kockázatot jelent az érintettek „jogaira és szabadságaira nézve” [1]. Ez a kicsit általános kifejezés a rendelet szövegéből való, de milyen jogai sérülhetnek a magánszemélyeknek?

A leggyakoribb eset a magánélethez való jog, azaz ne kerüljön ki az érintettről olyan információ, amit magántermészetű. Lehet közvetett vagy közvetlen anyagi kára is valakinek egy incidensből, elveszheti például munkáját. Az is lehet, hogy a párkapcsolata kerül veszélybe, közmegítélése csorbul, de egy kéretlen információ közlés akár az érintett elleni önbíráskodáshoz is vezethet.

A jogi paletta nagyon széles, de általában véve a józan ítélőképességünk elég kell hogy legyen annak megállapítására, hogy van-e az incidensünknek ilyen jellegű kihatása az érintettekre. Ha a kedves olvasó bizonytalan, javasoljuk, hogy konzultáljon szakértőinkkel az esetről.

Az incidenst idehaza a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) kell bejelenteni. Ezt megtehetjük papíron, hibabejelentő űrlap segítségével vagy a hatóság által üzemeltetett incidensbejelentő rendszerben. Ez utóbbit javasoljuk használni.

Az incidenst alapesetben 72 óránk van bejelenteni [1], miután az incidens tudomásunkra jutott (és nem a bekövetkezéstől számítva 72 óra). A bejelentésnek nem kell a teljes kivizsgálást tartalmaznia, közölhetjük azt is a hatósággal, hogy a körülmények feltárása folyamatban van, de az incidens tényét a határidőn belül közölnünk kell. Ha van elfogadható indokunk a késedelemre, akkor 72 órát túllépve is megtehetjük a bejelentést, de írásban nyilatkoznunk kell róla, hogy miért nem tudtuk ezt a megszabott határidőn belül megtenni.

Megjegyeznénk, hogy az incidens bejelentése önmagában nem jelenti azt, hogy hatósági vizsgálat indul és vállalkozásunkat megbüntetik. Mi magunk is készítettünk partnereink részére incidens bejelentést, amelynek a hatóság részéről nem volt semmiféle negatív következménye, pusztán tudomásul vették a bejelentést. Ez normális lefolyása a legtöbb esetnek, a hatóság csak azokkal az incidensekkel foglalkozik mélyrehatóan, amelyek jellege és súlyossága indokolja azt.

Az incidenst mindig a „vezető” adatkezelő jelenti be. Ha adatfeldolgozónál történt az incidens, akkor is, az őt megbízó adatkezelő feladata lesz ez, amiben természetesen az adatfeldolgozó kötelező módon segít. Közös adatkezelés esetén az adatkezelők eldöntik melyik fél felelős a hatósággal való kapcsolattartásért.

A bejelentés tartalma kapcsán a NAIH rendszere segít nekünk, de hogy egészen világos legyen, itt is felsoroljuk a kötelező elemeket [2]:

Ha valamelyik információ ezek közül nem elérhető még (például az incidens kezelésének módja), akkor ezt később is közölhetjük a hatósággal [3].

Zárszóként leírnánk, hogy alapvetően nem kell félni az incidens bejelentéstől, a hatóság korrekt módon kezeli azokat. A bejelentés elmaradása már eredményezett idehaza is tízmilliós büntetést, úgyhogy ezt lehetőleg kerüljük el. Általában véve javasoljuk, hogy keressen fel minket vagy más szakértőt egy-egy esetleges komolyabb incidens esetén, jelentős kellemetlenségektől óvhatja meg magát, ha a bejelentés megfelelő formátumú és tartalmú.

Referenciák

[1] GDPR 33/1.: Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

[2] GDPR 33/3.: Az (1) bekezdésben említett bejelentésben legalább:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

[3] GDPR 33/4.: Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.