Adatvédelmi iránymutatás – 11. kérdés

Vissza a szervezőknek szóló adatvédelmi iránymutatás főoldalára

Adatvédelmi iránymutatás – 11. kérdés

Mi a teendő adatvédelmi incidens esetén?  

A 2. forgatókönyv szerinti esetekre vonatkozik, kivéve a Bizottság fájlcserélő szolgáltatásának igénybevétele tekintetében

Adatvédelmi incidens alatt azt értjük, amikor sérül a biztonság, és ez a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását vagy jogosulatlan közlését eredményezi, illetve azzal jár, hogy ezekhez az adatokhoz jogosulatlan személyek is hozzáférhetnek.

Adatvédelmi incidens bejelentése

Adatvédelmi incidens esetén a szervezői csoport képviselőjének haladéktalanul, alapesetben 72 órán belül értesítenie kell erről az illetékes adatvédelmi hatóságot, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

A bejelentésnek legalább a következőket kell tartalmaznia:

• az adatvédelmi incidens leírása, beleértve az érintett aláírók számát és az érintett adattípusokat,
• az adatvédelmi tisztviselő (vagy más illetékes kapcsolattartó) neve és elérhetősége,
• az adatvédelmi incidens tárgyának megvizsgálása után valószínűnek tartott következmények ismertetése, valamint
• az adatkezelő által az incidens orvoslása vagy enyhítése érdekében tett intézkedések leírása.

Ha nem lehet egyidejűleg az összes információt megadni, azokat több szakaszban is közölni lehet, amint rendelkezésre állnak.

A képviselőnek dokumentálnia kell a tényeket, azok hatásait és a már megtett vagy sürgősen megtenni tervezett korrekciós intézkedéseket (a tervezett intézkedéseknél a végrehajtás tervezett időpontját is meg kell adni).

A jogokat és szabadságokat érintő kockázatok

Ha az incidens valószínűsíthetően magas kockázattal jár az aláírók jogaira és szabadságaira nézve, az érintetteket megfelelően tájékoztatni kell, kivéve, ha:

• a végrehajtott intézkedések (például titkosítás, feltéve, hogy a kulcs nem kompromittálódott) értelmezhetetlenné tették az adatokat, vagy valószínűsíthetően biztosítják a kockázatok elhárítását, vagy
• az aláírók egyéni tájékoztatása aránytalan erőfeszítéssel járna. Ebben az esetben egyéni tájékoztatás helyett nyilvános közleményben lehet értesíteni az aláírókat a jogsértésről.

MEGJEGYZÉS: 

Abban az esetben, ha a Bizottság részt vesz közös adatkezelőként az adatkezelési műveletben, az adatvédelmi incidens pedig nem a szervezői csoportot alkotó tagok magatartásának tulajdonítható, a fent említett kötelezettségeket a Bizottság teljesíti. A szervezői csoportnak – szükség esetén és a lehetőségekhez mérten – segítenie kell a Bizottságot az adatvédelmi incidens kezelésében.

Hivatkozások:

• az általános adatvédelmi rendelet 33. és 34. cikke
• az adatvédelem terén gyakran felmerülő kérdéseket megválaszoló bizottsági webhely – „Mit nevezünk adatvédelmi incidensnek, és mi a teendő ilyen esetben?”