az adatvédelmi incidens jelentése kötelező
- Cég

Miért fontos jelenteni az adatvédelmi incidenst?

Sajnos adatvédelmi incidens a legnagyobb odafigyelés mellett is előfordulhat. Akár mi hibázunk, akár mi válunk áldozatává, fontos tisztázni néhány kihagyhatatlan lépést, aminek megtétele nem csak nélkülözhetetlen, de jogszabályi kötelezettségünk is. Bármilyen adatvédelmi incidensről legyen is szó, a veszély elhárítása után a következő lépés, hogy értesítsük a hatóságot és azt, vagy azokat a személyeket akik károsultak az eset során.

Mi számít adatvédelmi incidensnek?

Először is tisztázzuk a fogalmat. A hivatalos meghatározás, a GDPR szerint a következő: “a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását; jogosulatlan közlését, hozzáférését eredményezi.”
Összességében minden olyan esemény, aminek a következtében a személyes adatokhoz jogtalanul hozzáférnek, vagy módosítják illetéktelenek, akár közlik is azokat.

Példák

  • Céges telefon, vagy laptop elvesztése, amin személyes adatokat tároltunk
  • Ha megosztjuk a jelszavunkat másokkal
  • Amennyiben úgy küldünk kör e-mailt, hogy nem használtuk a titkos másolat funkciót

A bejelentés lépései

A személyes adatok védelmét talán nem is lehet eléggé hangsúlyozni. Ezért fontos, hogy megfelelő védelemmel lássuk el őket. Ha viszont már megtörtént a baj, akkor az adatvédelmi incidens jelentése kötelező. A folyamat a gyakorlatban így néz ki:

  1. Az incidenst minél előbb meg kell állapítani.
  2. Az észlelést követően nyilvántartásban kell rögzíteni, hogy mi történt pontosan. Ezt akkor is meg kell tenni, ha nem kell bejelentenünk az incidenst.
  3. Ezt követően jelenteni kell az esetet a NAIH-nak.
  4. Az érintetteket is értesítenünk kell a történtekről.

A hatóság tájékoztatása abban az esetben elhanyagolható, ha bizonyítani tudjuk, hogy maga az incidens nem járt kockázattal az érintett jogair nézve.
Az érintett személyt tájékoztatásától pedig akkor tekinthetünk el, ha a kikerült adatok titkosítottak, vagy nem felhasználhatók. Illetve akkor, ha a már végrehajtott intézkedéseknek köszönhetően, az incidens már nem jár magas kockázattal.