Hírek

Hírek

72 órád van

72 órád van


Az incidens bejelentési rendszert itt éritek el

Az adatvédelmi incidenst indokolatlan késedelem nélkül, lehetőség szerint három napon, egész pontosan 72 órán belül be kell jelenteni a NAIH-hoz. Kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

 

Mikor lehetsz benne biztos, hogy incidens történt? A NAIH bejelentő rendszere ezeket az eseteket sorolja fel:

  • adathalászat történt (pl. kicsalták a banki azonosítót, jelszót);
  • a személyes adatok rajta maradnak egy elavult eszközön (elektronikus hulladék keletkezett, pl. tönkrement a laptopod, amelyen a pácienseidről tartasz feljegyzést);
  • ellopták vagy elveszítettél egy eszközt (pendrájvot, laptopot, számítógépet, telefont, rajta személyes adatokkal);
  • feltörték az informatikai rendszert (hackelés);
  • elveszett egy levél vagy jogosulatlanul felnyitotta valaki;
  • elveszett egy papír alapú dokumentum, vagy ellopták, esetleg olyan helyen hagytad, ami nem tekinthető biztonságosnak (pl. a pszichológiai tesztek eredményét a vonaton felejtetted);
  • papír alapú dokumentumot nem megfelelő módon semmisítettél meg (pl. kidobtad a kukába a feleslegesnek ítélt iratokat, aktákat, úgy ahogy vannak);
  • rosszindulatú számítógépes program áldozata lettél (zsarolóprogram);
  • jogosulatlanul ismerte meg valaki a személyes adatokat, amelyeket kezelsz (pl. nem titkos másolatként küldöd el a csoportos e-mailt)
  • jogosulatlanul közölted a személyes adatokat szóban (pl. beszélsz baráti társaságban a beazonosítható ügyfeleidről);
  • személyes adatot nagy nyilvánosság előtt jogellenesen tettél közzé (pl. fotók
  • személyes adatok téves címzett részére történő elküldése (pl. laborvizsgálat eredménye téves e-mail címre)
  • EGYÉB

Miért kell ügyelned arra, hogy a személyes adatokra vigyázz?

Ha a fent felsorolt eseményekből bármelyik bekövetkezik, kárt okozhatsz azoknak a személyeknek, akiknek az adatait kezeled.

Milyen károkról beszélünk?

Vagyoni, nem vagyoni, fizikai, egyéb jelentős következmények, például jó hírnév sérelme, pénzügyi veszteség, személyazonosság-lopás, vagy személyazonossággal visszaélés, hátrányos megkülönböztetés, stb.

 

Mi a teendő, ha megtörtént a baj és adatvédelmi incidens következett be?

1. Mindent el kell követni, hogy csökkentsd a további veszteséget, megelőzd a további károkat. Ez jelentheti a rendszer helyreállítását, a korábbi biztonsági másolatok használatát, a rendszer teljes elszigetelését

2. Értékelni kell, hogy mekkora kockázattal jár az érintettekre nézve az incidens.

  • Milyen adatokról van szó? (személyazonossághoz kapcsolódó adatok, elérhetőségi adatok, azonosító adatok, pénzügyi, gazdasági adatok, kép vagy hangfelvétel, hivatalos okmányok, különleges adatok stb)
  • Mennyire érzékeny adatok? (egyes adatok a személyes jellegük miatt lehetnek érzékenyek pl. egészségügyi nyilvántartás adatai).
  • Ha az adatokat ellopták, titkosítva voltak-e?
  • Mi történt az adatokkal? Ha ellopták, tartalmaznak-e olyan információt, amely káros lehet az érintettekre, ha elvesztek vagy sérültek, helyreállíthatóak-e?
  • Mit tudhat meg harmadik személy az érintettről? 
  • Hány személy adatait érinti a jogsértés?
  • Kik azok a személyek, akinek az adatait érinti?
  • Járhat-e szélesebb rétegeket érintő következménnyel az incidens? Például közbiztonságra jelent-e veszélyt, vagy a közbizalomra.

 

3. Értesítési kötelezettség teljesítése

Ki kit értesítsen?

  • ha adatkezelő vagy, a NAIH felé kell bejelentést tenned és értesítened kell az érintetteteket;
  • ha adatfeldolgozó vagy, az adatkezelő felé (a tudomásszerzést követően).

Mikor NEM kell értesíteni az érintettet? Ha az adatkezelő megtette a szükséges intézkedéseket, pl. a titkosítás révén értelmezhetetlen másoknak az adat, vagy olyan intézkedéseket tett, amelyek megszüntették a kockázatot, vagy aránytalan erőfeszítést követelne az értesítés (ilyenkor a nyilvánossághoz kell fordulni).

 

NAGYON fontos: az adatvédelmi incidensekről nyilvántartást kell vezetni, itt nem él az a 250 fős szabály, amelyet a kötelező nyilvántartásoknál ismertettünk. 

A nyilvántartásnak tartalmaznia kell: az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatását, és az orvoslására tett intézkedéseket. 

 

Az összefoglalás elkészítése során a GDPR hatályos szövegén nagymértékben támaszkodtunk az angol hatóság útmutatójára  (ICO) és a francia hatóság (CNIL) formanyomtatványára. 

UPDATE: Bejegyzésünket frissítettük: 2018.06.30-án, a NAIH incidensbejelentő rendszere alapján. 

 

A bejegyzéshez illusztrációként haszbált kép forrása: Schutterstock