hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Kidobott ambuláns lapok, postán eltűnt leletek – adatvédelmi incidensek tanulságokkal

  • dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő

Elhagyott adatokkal teli pendrive – ez csak egyike a közelmúltban tapasztalt, gondatlanságból eredő adatvédelmi incidenseknek. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) szigorú szabályokat állít fel az adatvédelmi incidensek kezelésére, illetve bejelentésére. Ezen szabályrendszer ellenére valamennyi tagállamban, így Magyarországon is rengeteg adatvédelmi incidens történik. A legjellemzőbbeket a tanulságokkal az alábbiakban foglaljuk össze.

Ez az adatvédelmi incidens, és így kell eljárni

A GDPR 4. cikke alapján adatvédelmi incidensnek a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Erre jellemző példa az adathordozó vagy küldemény elvesztése, a téves címzett részére történő adattovábbítás vagy az informatikai rendszerbe történő jogosulatlan behatolás. Amennyiben adatvédelmi incidensre kerül sor, az adatkezelőnek azt haladéktalanul ki kell vizsgálnia, illetve annak súlyosságához igazodva meg kell tenni a szükséges intézkedéseket. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázatot jelent, abban az esetben azt mind a felügyeleti hatóságnak, mind pedig az érintettnek jelezni szükséges. A jelzésre a hatóság irányában a tudomásszerzéstől számított 72 óra áll rendelkezésre. Ilyen magas kockázat hiányában az adatvédelmi incidenst azonban csupán a felügyeleti hatósághoz szükséges bejelenteni. Valamennyi adatvédelmi incidenst nyilvántartásba kell ugyanakkor venni, melyet egy egyszerű Excel-táblázatban oldhatunk meg legegyszerűbben. Amennyiben pedig kockázatot nem tárunk fel, abban az esetben csupán a nyilvántartásba vétel a kötelezettségünk. Amennyiben egy adatvédelmi incidenshez kapcsolódóan a felügyeleti hatóság vizsgálódni kezd, a következőket kell alátámasztanunk: egyrészt igazolnunk szükséges, hogy mikor és hogyan szereztünk tudomást az incidensről, valamint ezzel összefüggésben azt, hogy a szigorú értesítési határidőt a hatóság, illetve esetlegesen az érintettek felé betartottuk. Másrészt be kell mutatnunk azt, hogy az incidens kockázatát mely szempontrendszer alapján állapítottuk meg. Kockázatértékelési eljárásrenddel előzetesen tehát már rendelkeznünk szükséges. Végezetül azt kell bemutatnunk, hogy mi vezetett az adatvédelmi incidenshez, illetve milyen intézkedésekkel akadályozzuk meg annak jövőbeli megismétlődését. Miután láttuk, hogy mit, hogyan kell végeznünk, lássuk a legfrissebb gyakorlati eseteket!

Olvassa tovább cikkünket, hogy megtudja milyen hazai adatvédelmi incidensek történtek és milyen tanulságok vonhatók le belőlük!

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Időszakos orvosi vizsgálatok

dr. Hajdu-Dudás Mária

ügyvéd

Egyéni vállalkozásból kivonás

Lepsényi Mária

adószakértő

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 november
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink