Mi számít adatvédelmi incidensnek?
A GDPR szerinti személyes adatokat érintő incidens alatt jellemzően a következő eseményeket értjük [1]:
- az adatok megsemmisülnek,
- az adatok elvesznek,
- az adatok az adatkezelő tudomása nélkül megváltoznak,
- mindenki számára elérhetővé válnak,
- az adatok az érintett számára hátrányos módon átmenetileg elérhetetlen,
- illetéktelenek férnek hozzá.
Az adatok megsemmisülhetnek technológiai okokból, de az is lehet, hogy csak elönti a víz az irodánkat és tönkremennek az aktáink. Elveszhetnek az adatok, ha elhagyunk egy adathordozót. Megváltozhatnak az adatok, ha valaki illetéktelenül átírja azokat, de lehet egyébként szoftver hiba is, amely felülírja valamilyen módon az adatbázisokat.
A hírekben leggyakrabban az adatszivárgással találkozhatunk, amikor az érzékeny információkat védelmi hiányosságok miatt el tudják lopni és végül kikerül az internetre. Másféle módon is előfordulhat, hogy széles körben elérhetővé válnak információk, például ha értékes dokumentumainkat megsemmisítés nélkül dobjuk ki a kukába.
Fontos emlékeznünk rá, hogy bizonyos esetekben egy ilyen eseményt jelentenünk kell a hatóságnak (lásd a vonatkozó útmutatást).
Elektronikus társadalmunkban ugyancsak nem ritka, hogy egy-egy rendszert a hozzáértők „feltörnek”, onnan akaratunk ellenére adatokat nyernek ki. Megjegyzendő, hogy ilyen eset előfordulhat gondatlanságunkból is (pl. elavult technológiákat használunk), de az is lehet, hogy legnagyobb igyekezetünk ellenére valaki talál olyan rést, ahol be tud lépni a rendszereinkbe. A hatóságnak mindig feladata mérlegelni az adatkezelő védelmi intézkedéseit, olyan eset is előfordul, hogy az adatszivárgás ellenére az adatkezelőt a vizsgálat ártatlannak találja, mert az elvárható mértékben aktívan védte az adatokat.
Tágabb értelembe véve, habár a rendelet a vonatkozó cikkelyben nem tér erre ki, ugyancsak incidens lehet az adatok tartós elérhetetlensége (például a számítástechnikai rendszerek leállása miatt), amennyiben ez valamilyen kihatással van az adatalanyokra.