Szerző: Dr. Ivanics Krisztina
4. Adatvédelmi incidens fogalma, bemutatása (Dr. Szabó Endre Győző)
Az incidens fogalmi elemeinek didaktikus ismertetése történik a videóban.
Fontos emlékezni arra, hogy nem minden információbiztonsági incidens adatvédelmi incidens, de minden adatvédelmi incidens információbiztonsági incidens is egyben. Ugyanakkor minden adatvédelmi incidens adatvédelmi jogsértés, amely következményeivel számolnia kell az adatkezelőnek.
A biztonság sérülését okozhatja, hogy
– a megvalósított intézkedések nem kellően hatékonyak,
– a megfelelő intézkedéseket nem tartották be, vagy
– nem hozták meg az arányos és elvárható biztonsági intézkedéseket.
Biztonság átmeneti sérülése is lehet incidens, amennyiben a kockázatok azzá minősítik. pl. zsarolóvírus titkosítása után, a visszaállítás ideje alatt nem folytatható az adatkezelő tevékenysége az adatok hiánya miatt.
Ha a zsaroló vírus a titkosítást követően másolatot készít és azt továbbítja valamilyen tárhelyre, akkor a bizalmasság és a hozzáférhetőség is sérül!
5. Az adatvédelmi incidensek kezeléséhez kapcsolódó feladatok (Dr. Szabó Endre Győző)
A hatóság minden bejelentetett incidens esetén hatósági ellenőrzés végez, amely során végzéssel nyilatkozattételt, iratszolgáltatást írhat elő. Ha kielégítőek az adatkezelő által megtett vagy tervezett intézkedések, értesítés nélkül 60 napon belül lezárja az eljárást, jogsértés megállapításának mellőzésével.
2019 folyamán 720 incidens bejelentés érkezett a hatósághoz, amelyek közül 19 hatósági ellenőrzés után folyt le hatósági eljárás. 6 esetben történt bírságolás.
Említett jogeset: elveszett a munkavállalói adatokat tartalmazó pendrive, amely sem jelszóval nem védett, sem az adatok nem voltak titkosítva, az adatkezelőnél létező előírás ellenére. Az adatok elvesztése a biztonság sérülését okozta, jogosulatlan hozzáférésre, nyilvánosságra hozatalra nem volt utaló jel. A bírság összegének kalkulálásakor figyelembe vették, hogy a bizalmasság további sérülésének veszélye fennáll, mert a pendrive nem védett.
A hatóság nem fogadja el a 72 órás bejelentési kötelezettség elmulasztásának indokaként a felettes szerv vagy anyavállalat jóváhagyására várakozást, belső egyeztetést. Szakaszos bejelentést támogatnak és a visszavonás lehetősége folyamatosan fennáll.
6. Az adatvédelmi tisztviselők kérdései az adatvédelmi incidens, az adatvédelmi hatásvizsgálat és a harmadik országba történő adattovábbítás kapcsán (Dr. Szabó Endre Győző)
Ha az adatvédelmi incidens nem jár kockázattal (pl. az elveszett adatok erősen titkosítottak vagy álnevesítettek és létezik mentés) csak a nyilvántartásba kell felvenni az esetet. Azonban mindig az eset konkrét körülményeinek ismeretében dönthető el a kockázat mértéke. Kockázat: súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit. Adatvédelmi incidens esetén az érintettek jogait és azokra gyakorolt hatást kell vizsgálni (a preambulum 75. pont szerint), így az incidens jellegét, érintett adatok jellegét, típusát, mennyiségét, könnyen azonosíthatók-e az egyének, a következmények súlyosságát. A kockázat magasabb, ha rosszhiszemű személyekhez került az adat, a következmények tartósságát, a különleges adat érintettsége is súlyosbító tényező, és figyelembe veszik az érintettek számát.
Előzetes hatásvizsgálat lefolytatása azoknál a GDPR életbe lépésekor már folyó adatkezeléseknél szükséges, amelyeknél valószínűsíthető a magas kockázat és amelynél megváltozott a kockázat figyelemmel az adatkezelés körülményeire, jellegére és céljára. Azon adatkezelés esetén, ami változatlan módon folyik, nem szükséges, ha a DPO vagy a hatóság jóváhagyta. A kötelező hatásvizsgálattal érintett adatkezelések meghatározásában a NAIH által kiadott un. fekete lista is segít.
7. A hatóság főbb eljárásai (Dr. Vass Norbert)
Vizsgálati eljárást bárki kezdeményezhet, ez a „bevezető” eljárás. A hatóság ilyenkor is iratokba betekinthet, helyiségbe beléphet, adatot kérhet bárkitől. A GDPR és az Infotörvény alapján jár el a hatóság. Lezárható az ügy felszólítással, ajánlással vagy hatósági eljárással.
Hatósági eljárás GDPR, Infotv. és az Ákr. szabályai szerint folyik, és a hatóság alkalmazza a rendelkezésére álló, a tényfeltérést, bizonyítást lehetővé tevő eljárásjogi eszközöket.
Ha az adatkezelő az előírt kötelezettség teljesítését nem igazolja, a NAIH úgy tekinti, mintha nem teljesítette volna.
8. Az érintetti jogok gyakorlására irányuló kérelmek (Dr. Vass Norbert)
Az érintetti megkeresés érkezhet bármely elérhetőségen, nemcsak dedikált csatornán és nincs formakényszer sem, tehát nem írható elő pl. az e-mailes forma. Az adatkezelő csak a már nála meglévő adatokat kérheti be az azonosítás érdekében és az adattakarékosság elvére az azonosítás során fokozottan figyelemmel kell lennie.
Amennyiben a megkeresés elutasításra kerül, azt ésszerű részletességgel indokolni kell. Akkor kérheti az adatkezelő – dokumentált formában – a kérelem pontosítását, ha régóta vagy sok adatot kezel az érintettről. A szerződéses vagy üzleti kapcsolat megszűnésétől függetlenül nem tagadható meg az adatokhoz hozzáférés, mert az adatkezelők jellemzően kezelik még az adatot jogi kötelezettség (pl. számviteli törvény) alapján. Kamerafelvételről maszkolással (vagy hasonló módszer alkalmazásával) adható másolat. Üzleti titokra hivatkozással nem tagadható meg az adtok kiadása, a hozzáférés biztosítása.
9. Egyes GDPR szerinti jogalapokkal kapcsolatos kérdések (Dr. Vass Norbert)
Érdekességként hívnám fel a figyelmet arra, hogy az oktató videóban a NAIH a tájékoztatás paramétereit a GDPR 13. és 14. cikkei szerint határozza meg, ugyanakkor nem hivatkozik a korábban, a témában kiadott állásfoglalásra. Nem lehet tudni, hogy ez csupán figyelmetlenség a hatóság részéről, vagy esetleg valóban részben vagy egészben meghaladottként tekint a korábbi állásfoglalásra, ezért annak említését tudatosan mellőzték.
A hozzájárulás kapcsán elhangzik, hogy célonként külön-külön megadandó és a nem cselekvés (előre bepipált check box vagy használat folytatás) nem elegendő az érvényes hozzájáruláshoz. Pl. a „közbiztonság” nem jó cél, mert nem egyértelmű, az adatkezelési célnak és az adatkezelés folyamatának mindig konkrétnak kell lennie. A hozzájárulás visszavonására könnyen elérhető eszközt kell biztosítani és a visszavonás jelentős hátránnyal nem járhat.
A szerződéses jogalap esetében csak a szerződés teljesítéséhez szükséges adatok kezelhetők, a profilozás csak akkor végezhető, ha a szerződés teljesítése azt indokolja. A szerződés nem teljesítésének kikényszerítése nem megfelelő a szerződéses jogalap (GDPR 6. cikk (1) b)), hanem jogos érdek (GDPR 6. cikk (1) f)). Fontos figyelemmel lenni a 2/2019 EDPB iránymutatásban foglaltakra.
10. A kis- és közepes vállalkozásoktól a hatósághoz beérkező kérdések bemutatása (Nagy Renáta)
Eddig 191 kérdés érkezett, talán mert a KKV adatkezelők számára nem volt ismert ez a lehetőség.
A GDPR vonatkozik a KKV-kra is, még akkor is, ha az adatkezelő tevékenysége nem jár semmilyen adatkezeléssel, de vannak munkavállalók. Ekkor a munkavállalói adatok kezelése tekintetében alkalmazandó.
11. További adatvédelmi tárgyú kérdések
12 oldalas írásos dokumentum, amelyet érdemes átfutni, mert a kérdések alapján könnyen eldönthető, hogy releváns-e az adott téma.
12. Információ szabadsággal kapcsolatban érkezett kérdések
Jelen cikkben nem tárgyaljuk.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.