Mint azt egy korábbi cikkünkben kifejtettük, az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation – GDPR) rögzíti az adatkezelő adatkezelési tevékenységek nyilvántartásának vezetésére vonatkozó kötelezettségét. Jelen cikkünkben az adatkezelő egy további, az adatvédelmi incidensek nyilvántartása vezetésére vonatkozó kötelezettségét mutatjuk be.
Adatvédelmi incidens alatt a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közléséhez vagy az azokhoz való jogosulatlan hozzáféréshez vezet. Adatvédelmi incidens például, ha tömeges e-mail kerül kiküldésre BCC (titkos másolat alkalmazása) nélkül vagy, ha a munkavállaló jogtalanul eltulajdonítja a munkáltató valamely adatállományát (pl. ügyféllista, árlista).
Az adatvédelmi incidensek nyilvántartása az adatkezelő által vezetett olyan dokumentum, amely – a GDPR-nak való megfelelés bizonyítása érdekében (elszámoltathatóság alapelve) – rögzíti a bekövetkezett adatvédelmi incidenseket, valamint az azokkal összefüggő tényeket, adatokat és körülményeket. Az adatvédelmi incidensek nyilvántartása továbbá tartalmazhatja az adatvédelmi incidenssel kapcsolatban meghozott adatkezelői döntések indokoltságának alátámasztásául szolgáló iratokat.
Az adatvédelmi incidensek nyilvántartása nem csak a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) felé bejelentett adatvédelmi incidenseket tartalmazza
A GDPR preambuluma (85) rögzíti, hogy az adatvédelmi incidens megfelelő intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
Erre tekintettel az adatkezelő az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, úgy a tudomásszerzést követő 72 órán belül köteles bejelenteni a NAIH felé, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve (GDPR 33. cikk).
Az adatvédelmi incidensek nyilvántartása értelemszerűen tartalmazza ezen hatósági bejelentés alá tartozó adatvédelmi incidenseket, ugyanakkor az adatkezelő a hatósági bejelentés alá nem tartozó adatvédelmi incidenseket is nyilvántartásba köteles venni.
Tartalmi követelmények az adatvédelmi incidensek nyilvántartása vonatkozásában
A GDPR meghatározza az adatvédelmi incidensek nyilvántartásának minimális tartalmi követelményeit, amely szerint az adatkezelőnek nyilván kell tartania az incidensekkel kapcsolatos tényeket (így fel kell tüntetni különösen az adatvédelmi incidens időpontját, jellegét és körülményeit, az érintettek körét, az érintett adatok jellegét). Emellett rögzíteni kell az adatvédelmi incidensek hatásait és következményeit, valamint az orvoslásukra tett intézkedéseket.
Javasolt feltüntetni az adatvédelmi incidensek nyilvántartásában az adatvédelmi incidensről való tudomásszerzés és a NAIH-hoz történt bejelentés időpontját. Indokolt rögzíteni továbbá, hogy mely tények és körülmények szolgáltak az adatkezelő adatvédelmi incidenssel összefüggésben hozott döntéseinek alapjául.
Formai követelmények az adatvédelmi incidensek nyilvántartása vonatkozásában
Az adatvédelmi incidensek nyilvántartását írásban, papír alapon vagy elektronikus formátumban (pl. .xls file-ban) kell vezetni. A GDPR nyelvi követelményt nem támaszt az adatvédelmi incidensek nyilvántartása vonatkozásában. Amennyiben a nyilvántartás idegen nyelven történő vezetését speciális körülmények nem indokolják, javasolt annak a magyar nyelven történő vezetése. Javasolt továbbá a nyilvántartásban feltüntetni az adatvédelmi incidenssel, illetve annak hatósági bejelentésével összefüggő dokumentumokat, illetve azok elérhetőségének helyét (pl. kockázatelemzés, incidens-bejelentés és az ahhoz kapcsolódó egyéb nyilatkozatok).
Amennyiben az adatkezelő adatvédelmi incidensek nyilvántartása vezetésére vonatkozó kötelezettségének nem tesz eleget – azaz az adatkezelő nem vagy nem megfelelően vezeti a nyilvántartást, illetve megkeresés esetén azt nem bocsátja a felügyeleti hatóság rendelkezésére –, úgy az adatkezelő közigazgatási bírsággal sújtható.
Amennyiben érdekli, hogy az Ön cégénél folytatott adatkezelési gyakorlat megfelel-e a GDPR követelményeinek, lépjen velünk kapcsolatba, egy adatvédelmi átvilágítás során szívesen áttekintjük jelenlegi helyzetét!