Kapcsolat

Adatvédelmi tisztviselő elérhetősége:

Dr. Pőcze Péter László

9026 Győr, Egyetem tér 1.

+3696/503-400  3173 mellék

adatvedelem@sze.hu

Tudnivalók az adatvédelmi incidensek kezeléséről

 

A GDPR előírása alapján Egyetemünk adatvédelmi incidens nyilvántartást vezet. Amennyiben adatvédelmi incidens észlel, haladéktalanul jelezze azt az adatvédelmi tisztviselőnek. Az incidens bejelentéséhez segítségül szolgál az „adatvédelmi incidens bejelentő nyomtatvány”. Szükség esetén az adatvédelmi tisztviselő az incidens észlelésétől számított legkésőbb 72 órán belül értesítési a Nemzeti Adatvédelmi és Információszabadság Hatóságot

 

incidensek kezelése.JPG

 

Az adatvédelmi incidens fogalma és kezelésére vonatkozó előírások

 

Az adatvédelmi incidens a GDPR 4. cikk 12. pontja értelmében a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését (rendelkezésre állás sérülése), megváltoztatását (integritás sérülése), jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést (bizalmas jelleg sérülése) eredményezi.

Az adatvédelmi incidenst az adatkezelő köteles indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Amennyiben az incidens az adatfeldolgozó tevékenységi körén belül valósul meg, az adatfeldolgozó azt az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

Ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni. Az ilyen jellegű bejelentések az annak pillanatában nem ismert információkkal később kiegészíthetők, helyesbíthetők, módosíthatók.

 

Az alábbiakban felsorolásra kerülnek a gyakorlatban tipikusan előforduló incidenstípusok, a Hatóság által az adatkezelőtől jellemzően elvárt kockázatcsökkentő intézkedésekkel együtt.

  1. a) A bejelentések legjelentősebb részét a téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek adták. Az adatkezelőnek ilyenkor mindent meg kell tennie, hogy a téves címzett a birtokába jutott, személyes adatokat tartalmazó dokumentumot, üzenetet megsemmisítse/törölje. Postai küldemény esetén az adatkezelő válaszborítékkal együtt küldött újabb levélben is kérheti a téves címzettet a nem neki szóló küldemény visszaküldésére. Gondoskodnia kell továbbá az adatkezelőnek arról, hogy a tényleges címzett is megkapja az üzenetet, valamint, amennyiben például az érintett személyes adatok jellege alapján az incidens kockázatát valószínűsíthetően magasnak értékeli, tájékoztatnia kell az incidensről az érintettet. Az ilyen tájékoztatás másolatát is célszerű megküldeni a Hatóságnak. Hasonló magatartás várható el az adatkezelőtől akkor is, ha a címzettnek az egyébként neki szóló üzenettel együtt téves, személyes adatokat tartalmazó csatolmány is kiküldésre került, akár postán, akár elektronikus üzenetben.
  2. b) E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit. Ilyenkor az incidens által a személyes adatokra jelentett kockázat csökkentése érdekében mindenképpen elvárható az adatkezelőtől, hogy a címzettekkel ismét felvéve a kapcsolatot, őket felkérje az üzenet törlésére.
  3. c) Az adatkezelőt ért hackertámadás következtében kiszivárgott adatok. Ilyen esetben fontos az incidens által érintett adatok mihamarabbi azonosítása, az informatikai biztonsági rendszerek felülvizsgálata. Abban az esetben, ha az adatkezelőnek szakértelem hiányában nem sikerül azonosítani a támadás folyamatát, illetve részletesen feltárni az incidenshez vezető körülményeket, érdemes külső szakértőt felkérni. Amennyiben a támadás emberi tényező kihasználásával történt (pl. phising), az elhárítás folyamatából kihagyhatatlan a munkavállalók oktatása. Abban az esetben, ha informatikai hibából adódott a sérülékenység, a teljes rendszer felülvizsgálata lehet indokolt. Minden esetben elvárható az adatkezelő információbiztonsági szabályzatának felülvizsgálata.
  4. d) Ellopott/elvesztett számítástechnikai eszközök, telefonok. Ilyen esetekben kiemelt szereppel bír az is, hogy az adatkezelő az incidenst megelőzően megfelelő figyelmet biztosított-e eszközei védelmének (jelszó, titkosítás), mellyel megakadályozható, hogy az adott eszközön tárolt adatokat illetéktelen személyek megismerhessék. Távoli hozzáférés lehetősége esetén utólag is elképzelhető az adatok eszközről való törlése. Fontos, hogy az incidensről való tudomásszerzést követően az adatkezelő azonnal azonosítsa, hogy az adott kliens milyen adatokhoz, szerverekhez fért hozzá, és milyen jogosultság került kiosztásra számára, azok pedig azonnal kerüljenek megvonásra, az érintett szervereket, szolgáltatásokat vonják vissza, illetve változtassák meg azok hozzáféréseit.

Általánosságban elmondható, hogy egy adatvédelmi incidens után, a feltárt hiányosságokat kiértékelve, az adatkezelő részéről indokolt lehet a belső folyamatok felülvizsgálata, további szűrők, ellenőrzések beiktatása a munkafolyamatba, illetve a munkatársak adatvédelmi tudatosságának növelése.

 

 

A weboldal sütiket használ
Oldalunk cookie-kat ("sütiket") használ. Ezen fájlok információkat szolgáltatnak számunkra a felhasználó oldallátogatási szokásairól, de nem tárolnak személyes információkat. Szolgáltatásaink igénybe vételével Ön beleegyezik a cookie-k használatába.
ElfogadomBeállítások