hello@compactszolg.hu
+36 30 446 2562

Az adatvédelmi incidens

20/04/2023

Adatvédelmi incidensre mind az adatkezelő, mind az adatfeldolgozó oldalán sor kerülhet. Első lépés, hogy fel kell tudni ismerni az ilyen eseteket.

Ennek pedig előfeltétele az alapvető fogalmak tisztázása. 

Az általános adatvédelmi rendelet 4. cikkének 12. pontjában a következőképpen határozza meg az adatvédelmi incidens fogalmát.

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Tehát adatvédelmi incidens esetén a személyes adatok biztonsága sérül.

Az ilyen jellegű incidens következménye, hogy az adatkezelő nem tudja biztosítani azoknak a személyes adatok kezelésére vonatkozó elveknek a betartását, amelyeket az általános adatvédelmi rendelet rögzít.

Ebben nyilvánul meg a különbség a biztonsági incidens és az adatvédelmi incidens között.

  • Lényegét tekintve minden adatvédelmi incidens biztonsági incidens, azonban nem feltétlenül minősül mindegyik biztonsági incidens adatvédelmi incidensnek, hiszen nem feltétlenül érint személyes adatokat.

Fontos megjegyezni, hogy a véletlen események (pl. félrepostázás, rossz e-mail címre küldés, véletlen törlés, adatok felülírása stb.) is ugyanúgy adatvédelmi incidensnek minősül(het)nek, ha az a személyes adatok megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Nézzük, hogy milyen következményei lehetnek az adatvédelmi incidensnek.

  • "megsemmisítése": amikor az adatok egyáltalán nem, vagy az adatkezelő számára nem használható formában léteznek.
  • "megváltoztatását" : az az eset, amikor a személyes adatok módosultak, sérültek, vagy már nem hiánytalanok.
  • "elvesztése" : az adatok még léteznek, de az adatkezelő már nem rendelkezik felettük, nem fér hozzájuk, vagy azok nincsenek a birtokában.
  • "jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférés": személyes adatok közlése (vagy hozzáférhetővé tétele) arra jogosulatlan címzettek számára, illetve bármilyen egyéb, az általános adatvédelmi rendeletbe ütköző adatkezelés.

Lényegében három típusát lehet az adatvédelmi incidenseknek elkülöníteni.

  1. titoksértés: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés
  2. sértetlenségi adatsértés: személyes adatok jogosulatlan vagy véletlen módosítása
  3. hozzáférhetőségi adatsértés: a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése


Az adatvédelmi incidens mindig hozzáférhetőségi adatsértésnek minősül, ha a személyes adatok véglegesen elvesznek vagy megsemmisülnek.

  • Például a személyes adatokat egy külső adathordozón (pendrive) tárolták, ami elveszett és a személyes adatokról nem volt biztonsági másolat.

Az incidens a körülményektől függően egyidejűleg érintheti a személyes adatok titkosságát, sértetlenségét és hozzáférhetőségét is. 

  • Például egy zsarolóvírus titkosította az adatkezelő adatbázis állományát, és a titkosított adatokról nincs biztonsági másolat, az adatkezelő informatikai részlege a naplóbejegyzésekből pedig megállapítja, hogy a zsaroló a titkosítás mellett hozzáfért a személyes adatokhoz (adatszivárgás is történt).

A személyes adatok bizonyos időre hozzáférhetetlenné válását eredményező biztonsági incidens is egyfajta adatvédelmi incidens, mivel az adatokhoz való hozzáférés átmeneti hiánya jelentős kihatással lehet a természetes személyek jogaira és szabadságaira. 

  • Az előbbi példánál maradva, az adatkezelő rendelkezik a titkosított adatokról biztonsági másolattal és 1 napon belül a biztonsági másolatokból visszaállítja a sértett adatokat. Ez akkor is adatvédelmi incidensnek számít.

Nem minősül "adatvédelmi incidensnek", ha a személyes adatok tervezett rendszerkarbantartás miatt nem hozzáférhetőek. Ez logikus, az adatkezelő meghatározhat ún. rendszerkarbantartási időszakokat. Erről azonban célszerű előzetesen tájékoztatni az érintetteket.

Milyen károkat okozhat az adatvédelmi incidens?

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni és nem vagyoni károkat okozhat az érintettek számára.

A kár jelentheti különösen a

  • a személyes adataik feletti rendelkezés elvesztését,
  • a jogaik korlátozását,
  • a hátrányos megkülönböztetést,
  • a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
  • a pénzügyi veszteséget,
  • az álnevesítés engedély nélküli feloldását,
  • a jó hírnév sérelmét,
  • a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését,
  • illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Milyen kötelezettségei vannak az adatkezelőnek?

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Mikor jut az adatvédelmi incidens az adatkezelő "tudomására"?

  • Akkor tekinthető úgy, hogy az incidens az adatkezelő "tudomására" jutott, amikor az adatkezelő észszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek. 
  • Az adott incidens körülményeitől függ, pontosan mikor tekinthető úgy, hogy az incidens az adatkezelő "tudomására" jutott. 
  • Például, ha a munkáltatói jogkör gyakorlójával közölték a személyes adatok biztonsági sérülését, akkor a közléssel beáll a tudomásszerzés.

Példák a tudomására jutott esetekre

1. Titkosítatlan személyes adatokat tartalmazó USB-kulcs elvesztése esetén gyakran nem lehet meggyőződni arról, hogy jogosulatlan személyek hozzáfértek-e az adatokhoz. Mindazonáltal, még ha az adatkezelő nem is tudja megállapítani, hogy sérült-e az adatok bizalmas jellege, az incidenst akkor is be kell jelenteni, mivel észszerű bizonyossággal állítható, hogy sérült a hozzáférhetőség. Az adatkezelőnek ez az eset akkor jut "tudomására", amikor fény derül arra, hogy az USB-kulcs elveszett.

2. Harmadik fél arról tájékoztatja az adatkezelőt, hogy véletlenül a birtokába jutottak az adatkezelő egyik ügyfelének személyes adatai, és a jogosulatlan közlést bizonyítékkal is alátámasztja. Mivel az adatkezelő egyértelmű bizonyítékot kapott a tekintetben, hogy sérült az adatok bizalmas jellege, így kétségtelenül a "tudomására" jutott.

3. Az adatkezelő észleli, hogy lehetséges, behatoltak a hálózatába. Ellenőrzi rendszereit annak megállapítása érdekében, hogy a bennük tárolt személyes adatok sérültek-e, és adott esetben ezt megállapítja. Az adatkezelőnek ez esetben is egyértelmű bizonyítéka van az incidens megtörténtére, így kétségtelenül a "tudomására" jutott.

4. Kiberbűnöző keresi meg az adatkezelőt, hogy váltságdíjat követeljen tőle, miután feltörte a rendszerét. Ebben az esetben, miután az adatkezelő meggyőződött arról, hogy rendszerét valóban támadás érte, egyértelmű bizonyítéka van az incidens megtörténtére, így az kétségtelenül a "tudomására" jutott.

Hogyan ellenőrzi az adatkezelő az incidensek megtörténtét?

  • Az adatkezelőnek rendelkeznie kell belső eljárásokkal, hogy észlelni és kezelni tudja az incidenseket. Ha például szabálytalanságokat fedez fel az adatkezelésben, akkor az adatkezelő vagy az adatfeldolgozó bizonyos technikai megoldásokat, például adatáramlás- és naplóelemző programokat használhat, amelyekkel a rendelkezésre álló naplóadatok összevetése alapján események és figyelmeztető jelzések határozhatók meg.

Mikor kell az érintettet tájékoztatni?

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Imre néhány példa a magas kockázatra.

  • Például egy egészségügyi szolgáltató központi információs-rendszere zsarolóvírus támadásnak volt kitéve, és jelentős számú (több ezer) adatot titkosított a vírus. Volt elektronikus biztonsági másolat, amiből 2 nap alatt visszaállították a sérült adatokat, de ezen idő alatt az egészségügyi szolgáltató nem tudta a feladatát rendben ellátni, műtétek, vizsgálatok kerültek elhalasztásra.
  • További példa, egy szolgáltató vállalat külső adathordozón tárolta az alkalmazottai személyes adatait, a munkaszerződéseket és a bérszámfejtéssel kapcsolatos valamennyi adatot. Az adathordozó nem volt jelszóval védve és titkosítást sem alkalmaztak. A szolgáltató bérszámfejtő és munkaügyeket intéző munkatársa elvitte magával az adathordozót, hogy otthon dolgozzon rajta. Hazafelé azonban ellopták a táskáját benne a külső adathordozóval, amin rajta volt az összes munkavállaló adata, személyes adatai, családi és egészségügyi adataikkal kapcsolatos információk, bankszámla és bérszámfejtési adatokkal. Ez magas kockázatot jelent az érintettekre, tehát a munkavállalókra. Melyek ezek a lehetséges kockázatok? Személyiség-lopás, zsarolás, pénzügyi hátrány, bérfizetés késedelmes teljesítése, későbbi kéretlen marketing tartalom küldése, jó hírnév sérelme, személyazonosítás.

Nyilvántartási kötelezettség

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a NAIH ellenőrizze a GDPR-ban foglalt követelményeknek való megfelelést. A nyilvántartás minden esetben kötelező, tehát akkor is nyilván kell tartani az adatvédelmi incidenst, ha azt a felügyeleti hatóságnak nem jelentik be és/vagy az érintetteket nem tájékoztatják. Ez alól nem lehet mentesülni, a NAIH eljárása során bekérheti a nyilvántartást.

A nyilvántartás módja az adatkezelőre van bízva, ez lehet egy elektronikus táblázat, erre a  célra szolgáló szoftver, papír alapú nyilvántartás is.

A fentiek a nyilvántartás minimum tartalmi elemeit képezik, ezt célszerű további elemekkel kiegészíteni.

Szakaszos bejelentés, bejelentés visszavonása

Amennyiben előreláthatólag 72 órán belül nem lehet az adatkezelőnél/adatfeldolgozónál a belső vizsgálatot lefolytatni, a NAIH ajánlása szerint az incidenst be kell jelenteni a rendelkezésre álló információkkal együtt. A bejelentés a későbbiekben kiegészíthető. Amennyiben a belső vizsgálat alapján kiderül, hogy nem történt adatvédelmi incidens, akkor a bejelentés visszavonható.

Milyen kötelezettségei vannak az adatfeldolgozónak?

Felelősség

A személyes adatok védelme iránti általános felelősség megmarad az adatkezelőnél. DE! de az adatfeldolgozónak is lényeges szerepe van abban, hogy az adatkezelő eleget tudjon tenni a kötelezettségeinek, köztük az adatvédelmi incidens bejelentésének.

Adatfeldolgozó eljárása

Ha az adatfeldolgozó az adatkezelő nevében általa kezelt személyes adatokat érintő adatvédelmi incidensről szerez tudomást, akkor azt "indokolatlan késedelem nélkül" be kell jelentenie az adatkezelőnek. Az adatfeldolgozónak kell kockázat felmérést végeznie a bejelentés előtt, ezt az adatkezelőnek kell felmérnie, miután tudomására jut az incidens.

Az adatkezelőnek mindössze azt kell megállapítania, hogy történt-e incidens, ezt követően pedig értesítenie kell az adatkezelőt.

Az adatkezelő a céljai eléréséhez veszi igénybe az adatfeldolgozót, ezért elvben akkor tekinthető úgy, hogy az adatkezelő tudomására jutott az incidens, amikor az adatfeldolgozó tájékoztatta róla.

Az adatkezelő értesítésére vonatkozó adatfeldolgozói kötelezettség révén nyílik lehetősége az adatkezelőnek, hogy kezelje az incidenst, és megállapítsa, hogy szükséges-e bejelentést tenni a NAIH-nak.

Az adatfeldolgozó számára természetesen adható meghatalmazás az incidens NAIH-nak történő bejelentésére, de az adatvédelmi incidenssel kapcsolatos felelősség akkor is az adatkezelőt terheli.

Összegezve tehát, az adatvédelmi incidensek felismerése, megfelelő kezelése és a helyes eljárás követése az adatkezelő fontos feladata. 

Az incidensek bizonyos része megelőzhető időszakos belső biztonsági ellenőrzések, tesztek lefolytatásával.

Ez érintheti az IT rendszert és a szervezet ügyviteli, eljárási szabályait is.

Hasznos lehet továbbá ún. adatvédelmi incidens kezelő kézikönyv kidolgozása.

Az adatkezelőnek pedig az alábbi intézkedési kötelezettségei vannak, illetve lehetnek:

  1. Nyilvántartási kötelezettség (minden esetben).
  2. Bejelentés a felügyeleti hatóságnak (ha az incidens kockázatot jelen).
  3. Érintettek tájékoztatása (ha valószínűsíthetően magas kockázat áll fenn).