Tudnivalók az adatvédelmi incidensek kezeléséről
A GDPR előírása alapján Egyetemünk adatvédelmi incidens nyilvántartást vezet. Amennyiben adatvédelmi incidens észlel, haladéktalanul jelezze azt az adatvédelmi tisztviselőnek. Az incidens bejelentéséhez segítségül szolgál az „adatvédelmi incidens bejelentő nyomtatvány". Szükség esetén az adatvédelmi tisztviselő az incidens észlelésétől számított legkésőbb 72 órán belül értesíti a Nemzeti Adatvédelmi és Információszabadság Hatóságot.
Incidens kezelési folyamat
Az adatvédelmi incidens fogalma és kezelésére vonatkozó előírások
Az adatvédelmi incidens a GDPR 4. cikk 12. pontja értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését (rendelkezésre állás sérülése), megváltoztatását (integritás sérülése), jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést (bizalmas jelleg sérülése) eredményezi.
Az adatvédelmi incidenst az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Amennyiben az incidens az adatfeldolgozó tevékenységi körén belül valósul meg, az adatfeldolgozó azt az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
Ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni. Az ilyen jellegű bejelentések az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.
Tipikus incidenstípusok
Téves címzés / félrepostázás
A bejelentések legjelentősebb részét a téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek adták. Az adatkezelőnek ilyenkor mindent meg kell tennie, hogy a téves címzett a birtokába jutott, személyes adatokat tartalmazó dokumentumot, üzenetet megsemmisítse/törölje. Postai küldemény esetén az adatkezelő válaszborítékkal együtt küldött újabb levélben is kérheti a téves címzettet a nem neki szóló küldemény visszaküldésére. Gondoskodnia kell továbbá az adatkezelőnek arról, hogy a tényleges címzett is megkapja az üzenetet, valamint amennyiben az incidens kockázatát magasnak értékeli, tájékoztatnia kell az incidensről az érintettet.
E-mail – CC helyett BCC hiánya
E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat", hanem a „Másolatot kap" mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit. Ilyenkor az incidens által a személyes adatokra jelentett kockázat csökkentése érdekében mindenképpen elvárható az adatkezelőtől, hogy a címzettekkel ismét felvéve a kapcsolatot, őket felkérje az üzenet törlésére.
Hackertámadás – kiszivárgott adatok
Az adatkezelőt ért hackertámadás következtében kiszivárgott adatok. Ilyen esetben fontos az incidens által érintett adatok mihamarabbi azonosítása, az informatikai biztonsági rendszerek felülvizsgálata. Amennyiben a támadás emberi tényező kihasználásával történt (pl. phishing), az elhárítás folyamatából kihagyhatatlan a munkavállalók oktatása. Minden esetben elvárható az adatkezelő információbiztonsági szabályzatának felülvizsgálata.
Ellopott / elvesztett eszközök
Ellopott/elvesztett számítástechnikai eszközök, telefonok. Kiemelt szereppel bír, hogy az adatkezelő az incidenst megelőzően megfelelő figyelmet biztosított-e eszközei védelmének (jelszó, titkosítás). Fontos, hogy az incidensről való tudomásszerzést követően az adatkezelő azonnal azonosítsa, hogy az adott kliens milyen adatokhoz, szerverekhez fért hozzá, és azok azonnal kerüljenek megvonásra.