Kevesebb mint egy év és alkalmazandó lesz az adatvédelmi rendelet IV. rész

Adatvédelem

Az adatvédelmi incidens és az adatkezelési tevékenységek nyilvántartása

2018. május 25-étől már alkalmazandó lesz Magyarországon az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete (2016. április 27.) (azaz általános adatvédelmi rendelet; „Rendelet”). Mivel az eddigi irányelvi szintű, közösségi szabályozással ellentétben a Rendelet már közvetlenül is alkalmazandó lesz Magyarországon, részben felváltja az eddigi, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) nyújtotta szabályozást.

Mivel a Rendelet sokban átalakítja a jelenleg hazánkban alkalmazandó adatvédelmi szabályokat, cikksorozatunkban áttekintjük az általunk legfontosabbnak tartott változásokat.

Ezúttal azt mutatjuk be, hogy 2018. május 25-ével miként bővülnek az adatkezelő adatvédelmi incidensekre és nyilvántartás-vezetésre vonatkozó feladatai.

  1. Az adatvédelmi incidens
  • Az adatvédelmi incidens nem új fogalom a magyar adatvédelemben, már az Infotv. is definiálja: „személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés”.

Az Infotv. szerint az adatkezelő az adatvédelmi incidensekkel kapcsolatban belső adatvédelmi nyilvántartást köteles vezetni, ami tartalmazza az adatvédelmi incidenssel kapcsolatos körülményeket és legfontosabb adatokat (pl. az adatvédelmi incidenssel érintetteknek és személyes adataiknak körét).

Az adatkezelő egyúttal az érintettet annak kérésére köteles tájékoztatni az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről.

  • A GDPR szerint az adatvédelmi incidensekkel kapcsolatban továbbra is nyilvántartás-vezetési kötelezettség terheli az adatkezelőket, ugyanakkor a tájékoztatással kapcsolatban szigorúbb követelményeket állít az adatkezelők elé.

A GDPR alapján az érintettet már nemcsak kérésére kell tájékoztatni az adatait érintő adatvédelmi incidensről, hanem automatikusan és „indokolatlan késedelem nélkül”. A tájékoztatásnak világosan és közérthetően tartalmaznia kell az adatvédelmi incidens jellegét, az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit, az adatvédelmi incidensből eredő, valószínűsíthető következményeket, valamint az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.

Az érintettek tájékoztatása csak akkor nem kötelező, (i) ha az adatkezelő olyan technikai és szervezési védelmi intézkedéseket tett meg, amelyek hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat (pl. titkosítás), vagy (ii) ha az adatkezelő valószínűsíti és biztosítani tudja, hogy az adatvédelmi incidenst követően az érintett jogaira jelentett magas kockázat már nem áll fenn.

Az érintettek tájékoztatása ugyan kötelező, de azt nem kell külön-külön megtenni, ha az az adatkezelő számára aránytalan erőfeszítéssel járna. Ilyenkor elegendő a nyilvánosan közzétett információk útján való tájékoztatás (pl. honlapon való közzététel).

A GDPR az érintettek felé fennálló kötelezettségen túl kötelezővé teszi az adatvédelmi felügyeleti hatóság (ez Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság; „NAIH”) tájékoztatását is. Ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira nézve, ilyen tájékoztatás nem kötelező. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával az után, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a felügyeleti hatóságnak. Ha nem lehetséges az információkat egyidejűleg közölni, azok részletekben is közölhetők. A felügyeleti hatóság felé tett bejelentéssel kapcsolatban a GDPR az érintetteknek adott tájékoztatás tartalmi elemein túl megköveteli az incidenssel érintett adatok és érintettek számának és kategóriának feltüntetését is.

  1. Az adatkezelési tevékenységek nyilvántartása
  • Az Infotv. is előírt már nyilvántartás-vezetési kötelezettséget az adatkezelő számára, ez volt az előző pontban kifejtettek szerinti, kizárólag az adatvédelmi incidensekről szóló belső adatvédelmi nyilvántartás.
  • A Rendelet ehhez képest már az adatkezelési tevékenységek nyilvántartásáról beszél, amely tartalmában is eltér a belső adatvédelmi nyilvántartástól.

A Rendelet szerint az adatkezelő köteles írásbeli (ideértve az elektronikus formátumot is) nyilvántartást vezetni minden, általa végzett adatkezelési tevékenységről a következő adatokat feltüntetve:

  • az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az adatkezelés céljai;
  • az érintetteknek és személyes adataiknak kategóriái;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;
  • a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk;
  • a különböző adatkategóriák törlésére előirányzott határidők;
  • a kockázat mértékének megfelelő szintű adatbiztonság érdekében alkalmazott technikai és szervezési intézkedések általános leírása.

A nyilvántartás nem nyilvános, ugyanakkor a felügyeleti hatóság megkeresésére ezt a rendelkezésére kell bocsátani.

Külön rendelkezések vonatkoznak a 250 főnél kevesebb személyt foglalkoztató cégekre és egyéb szervezetekre. Ezen szervezeteknek az adatkezelésükről nyilvántartást csak akkor kell vezetniük, ha:

  • az általuk végzett adatkezelés az érintettek jogaira nézve valószínűsíthetően kockázattal jár,
  • az adatkezelés nem alkalmi jellegű,
  • az adatkezelés kiterjed a személyes adatok különleges kategóriáira (pl. egészségügyi adatok, vallási vagy világnézeti meggyőződésre utaló adatok), vagy
  • az adatkezelés kiterjed büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

A fentiek szerint megnövekvő adatkezelői kötelezettségekhez való alkalmazkodás a NAIH-nak és maguknak az adatkezelőknek sem lesz egyszerű. Előbbinek mindenekelőtt 2018. május 25-éig szükséges megteremtenie az adatvédelmi incidensek bejelentésére szolgáló rendszert; ez valószínűleg – derült ki a NAIH munkatársának a Rádió Orientnek adott interjújából – egy új főosztály alakításával és egy új, online felület létrehozásával valósul majd meg. Az adatkezelő bejelentéssel kapcsolatos, pontos feladatai igazán majd ezen bejelentési rendszer kiépülésével lesznek átláthatóak. Ami az adatkezelési tevékenységek nyilvántartását és az érintettek adatvédelmi incidensekről való tájékoztatását illeti, hiába a GDPR ezzel kapcsolatos átlátható szabályozása, ezen kötelezettségek a megnövekedett adminisztratív terhek miatt így is problémát jelenthetnek az adatkezelők számára.

Dr. Póczek Aliz

A témában írt korábbi cikkeinket itt olvashatja:

Photo credit: Foter.com