Loading...

Incidenskezelés

Az adatvédelmi incidens fogalma 

1.1. Adatvédelmi incidens:

A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; (Rendelet 4. cikk 12.)

 

1.2. A leggyakoribb jelentett incidensek lehetnek például: személyes adatok nem biztonságos tárolása, adatok nem biztonságos továbbítása,  ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása, szerver elleni támadások, honlap és levelező rendszer feltörése.

 

Adatvédelmi incidensek kezelés

2.1. Adatvédelmi incidensek megelőzése, kezelése, a vonatkozó jogi előírások  betartása a Társaság vezetőjének feladata.

2.2. Az informatikai rendszereken naplózásra kerülnek a hozzáférések és hozzáférési kísérleteket, melyek ellenőrzése folyamatos.

2.3. Amennyiben a társaság ellenőrzésre jogosult munkavállalói a feladataik ellátása során adatvédelmi incidenst észlelnek, haladéktalanul  értesítik a  Társaság vezetőjét és az adat védelemért felelős érintettet.

2.4. A Társaság munkavállalói kötelesek jelenteni a Társaság vezetőjének, vagy a munkáltatói jogok gyakorlójának, vagy az adat védelemért felelős érintettnek, ha adatvédelmi incidenst, vagy arra utaló eseményt észlelnek.

2.5.Adatvédelmi incidens bejelenthető a Társaság adatvedelem@nemetszakmunkak.hu e-mail címén, telefonszám(+3630/546 42 21),

amelyen a munkavállalók, szerződő partnerek, érintettek jelenteni tudják az alapul szolgáló eseményeket, biztonsági gyengeségeket.

2.6 Adatvédelmi incidens bejelentése esetén a Társaság vezetője – az informatikai, pénzügyi és működési vezető bevonásával – haladéktalanul megvizsgálja a bejelentést, ennek során azonosítani kell az incidenst, el kell dönteni, hogy valódi incidensről, vagy téves riasztásról van szó. 

 

Meg kell vizsgálni és meg kell állapítani:

  1. az incidens bekövetkezésének időpontját és helyét,
  2. az incidens leírását, körülményeit, hatásait,
  3. az incidensben érintett adatok körét, számosságát,
  4. a kompromittálódott adatokkal érintett személyek körét,
  5. az incidens elhárítása érdekében tett intézkedések leírását,
  6. a kár megelőzése, elhárítása, csökkentése érdekében tett intézkedések leírását.

 

2.7.Adatvédelmi incidens bekövetkezése esetén  az érintett rendszereket, személyeket, adatokat be kell határolni és el kell különíteni és gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok begyűjtéséről és megőrzéséről.

Ezt követően lehet megkezdeni a károk helyreállítását és a jogszerű működés visszaállítását.

Adatvédelmi incidensek nyilvántartása

3.1. Az  adatvédelmi incidensekről nyilvántartást kell vezetni, amely tartalmazza:

  1. az érintett személyes adatok körét,
  2. az adatvédelmi incidenssel érintettek körét és számát,
  3. az adatvédelmi incidens időpontját,
  4. az adatvédelmi incidens körülményeit, hatásait,
  5. az adatvédelmi incidens orvoslására megtett intézkedéseket,
  6. az adatkezelést előíró jogszabályban meghatározott egyéb adatokat

3.2. A nyilvántartásban szereplő adatvédelmi incidensekre vonatkozó adatokat 5 évig meg kell őrizni

Az érintett tájékoztatása az adatvédelmi incidensről

4.1. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

4.2 A 4.1. pontban említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a Rendelet  33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

4.3 Az érintettet nem kell az  4.2. pontban említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

  1. az Adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat
  2. az Adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az 1. pontban említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
  3. a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

4.4.  Ha az Adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a 3. pontban említett feltételek valamelyikének teljesülését.

(Rendelet 34. cikk)

4.5 Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

4.6 Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

4.7.Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.

4.8 A 4.5.bekezdésben említett bejelentésben legalább:

  1. a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  2. b) közölni kell az adatvédelmi feleős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhető­ségeit;
  3. c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  4. d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

4.9. Ha és amennyiben nem lehetséges az információkat egyidejűleg közölni, azok további indokolatlan késedelem nélkül később részletekben is közölhetők.

4.10. Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést.

A felügyeleti hatóságnál történő panasztételhez való jog

5.1. Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

5.2. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről, ideértve azt is, hogy a Rendelet  78. cikk alapján az ügyfél jogosult bírósági jogorvoslattal élni.

(Rendelet 77. cikk)

 

Panasszal a Nemzeti Adatvédelmi és Információszabadság Hatósághoz lehet fordulni.

Név:             Nemzeti Adatvédelmi és Információszabadság Hatóság

Székhely:      1125 Budapest, Szilágyi Erzsébet fasor 22/C.

Postacím:      1530 Budapest, Pf.: 5.

E-mail:          ugyfelszolgalat@naih.hu

Telefon:         + 36 1 391-1400

 

A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

6.1.  Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.

6.2.   Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha a Rendelet  55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről.

6.3. A felügyeleti hatósággal szembeni eljárást a felügyeleti hatóság székhelye szerinti tagállam bírósága előtt kell megindítani.

6.4. Ha a felügyeleti hatóság olyan döntése ellen indítanak eljárást, amellyel kapcsolatban az egységességi mechanizmus keretében a Testület előzőleg véleményt bocsátott ki vagy döntést hozott, a felügyeleti hatóság köteles ezt a véleményt vagy döntést a bíróságnak megküldeni.

(Rendelet 78. cikk)

Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

7.1 A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, Rendelet 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.

7.2 Az adatkezelővel vagy az adatfeldolgozóval szembeni eljárást az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Az ilyen eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.

(Rendelet 79. cikk)