Önfeljelentési kötelezettség - Incidenskezelés

mkvkok_kis
  • Értesítő a rovat cikkeiről

Az Általános Európai Adatvédelmi Rendelet (GDPR) egyik újdonsága az, hogy az adatkezelőknek minden őket ért informatikai incidenst be kell jelenteniük az adatvédelmi hatósághoz az észleléstől számított, mindössze 72 órán belül. Az incidensek miatt, még bejelentés esetén is szabható ki bírság, a be nem jelentett incidensek esetében azonban jóval magasabb bírságtól lehet tartani.

Bevezetés

A GDPR a korábbi európai adatvédelmi szabályozás helyébe lép. A személyes adat fogalma terén a bírósági gyakorlatot átvéve, bővül a személyes adat fogalma, azonban továbbra is megmarad az a koncepció, hogy minden információt hordozó adat lehet személyes adat, így például egy e-mail cím (akkor is, ha nem tudjuk kié), egy IP cím (akkor is ha dinamikus), a böngészési eredmények, a viselkedés (akkor is ha azt nem tudjuk kihez kötni), a kamerafelvétel… Egyszóval tehát bármi, amiből bárki más eszköz használatával lehetőséget kaphat arra, hogy azonosítsa a személyt (jogi kifejezéssel érintettet).

Az a személy, aki az adatokhoz hozzájut, gyűjti, tárolja, másolja, továbbítja, őrzi, megváltoztatja, törli: az adatkezelő. Akkor is, ha magánszemély, egyéni vállalkozó Bt. vagy akár egy nagyvállalat.

Az a személy, aki segíti az adatkezelő munkáját, de nincs joga változtatni, törölni önállóan, az adatfeldolgozó, tipikusan ilyenek az informatikusok, rendszergazdák, tesztelők, web hosting-szolgáltatók, de akár a bérszámfejtők, könyvelők is.

A GDPR mind az adatkezelők, mind az adatfeldolgozók számára kötelezővé teszi, hogy megfelelő technikai és szervezési intézkedéseket alkalmazzanak az adatbiztonság érdekében.

Adatbiztonsági követelmények

A GDPR nagy hangsúlyt fektet az adatok biztonságára és az erre vonatkozó követelményrendszer felállítására. Nem titkoltan a hacker támadások, adatvesztések, zsaroló vírusok hatásainak kiküszöbölése érdekében is született. Abban az esetben, ha valakit kibertámadás ér, nemcsak maga a támadó, hanem az adatkezelő (esetleg az adatfeldolgozó) is felelősségre vonható. Az elsőre talán érthetetlennek tűnő szabály logikája, hogy a GDPR elvárja, mindenki maga feleljen a biztonságáért. Más területeken azonban ez eddig sem volt idegen, hiszen ha valaki például benne hagyja a kulcsot az autójában, a biztosító nem fizet az eltulajdonítás esetén. Ugyanez történik most az adatvédelemben is: ha valaki nem alkalmaz vírusírtokat, nem teszi meg a szükséges adatvédelmi intézkedéseket, komoly bírsággal néz szembe.

Az informatikusok jól ismerik a „CIA” háromszöget, ez az amit a legkisebb vállalkozásoknak is teljesíteni kell: vagyis adminisztratív, fizikai és logikai intézkedésekkel kell védeniük a rendszerüket: legyen beállított biztonság mentés, (vagy akár két redundáns szerver), legyenek felkészültek a támadásra és azonnal tudjanak cselekedni. Az azonnali cselekvés azt jelenti, hogy rendelkezzen a cég incidens kezelési renddel, és a bekövetkezett incidensek kezelésére vonatkozó szabályozási tervvel. Az informatikai felkészülés része az is, hogy az adatkezelők képezzék a munkavállalóikat. Ilyen lehet az alapvető adatbiztonsági ismereteknek az oktatása, például arra, hogy ismeretlen levelet ne nyissanak meg a munkavállalók, ismeretlen szoftvert ne töltsenek le, csak céges pendrive-ot használjanak, ne használjanak megbízhatatlan open source dokumentumokat.

Incidenskezelési eljárás

Az incidens fogalma: a biztonság olyan sérülése, amely a személyes adatok sérülésével, megváltozásával, elvesztésével, vagy az azokhoz való jogosulatlan hozzáféréssel jár. Ha például egy munkavállaló elveszít egy adathordozót (amelyen adatok voltak), vagy egy e-mail téves címzetthez kerül, már megállapíthatjuk, hogy bekövetkezett egy incidens. Az észlelés időpontja ezekben az esetekben: amikor a vezető tudomást szerez az adathordozó elvesztéséről, illetőleg a téves címzettnek küldött levél esetében, amikor a címzett visszajelez.

Gyakran előfordul, hogy nem az adatkezelő, hanem az adatfeldolgozó észleli az incidenst. Fontos ilyenkor, hogy neki szerződéses kötelezettsége legyen rövid időn (például 8 órán belül) az adatkezelő megfelelő szakemberének jelenteni a problémát, ellenkező esetben előfordulhat, hogy az incidens nem jut az adatkezelő tudomására.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

 

Az incidenst a bejelentés előtt az adatkezelőnek fel kell tárnia, és a feltárt információval együtt kell megtennie a bejelentését. Nem kell bejelenteni azokat az eseményeket, amelyek esetében az adatkezelő biztosan ki tudja jelenteni, hogy nem jár kockázattal az érintettek számára.

A GDPR előírásai szerint az incidens „észlelésétől” számított 72 órán belül az intézkedési javaslatokkal együtt kell értesítenie a vezetőnek a hatóságot és szükség esetén (ha más mód nincs) az érintetteket. A magyar hatósághoz a bejelentést formanyomtatványon kell majd megtenni, s a bejelentésben le kell írni az eset körülményeit és időpontját, az érintettek számát, a lehetséges jogsérelmeket, a megtett intézkedéseket. Megtett intézkedés lehet például a szerverek leállítása, jelszóváltoztatás, adminisztrátori jogosultságok szigorítása.

Amennyiben az incidens jelentős hatással lehet az érintettek jogaira és szabadságaira nézve, az érintetteket is tájékoztatni kell. A tájékoztatás történhet nyilvános felhívásokkal, de amennyiben az érintetteket az adatkezelő személy szerint azonosítani tudja, közvetlen üzenettel is.

A cikk szerzője: Dr. Soós Andrea Klára ügyvéd, a Magyar Könyvvizsgálói Kamara Oktatási Központ oktatója.

MKVOK embléma

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • GDPR, EU

    A kormány tervei szerint csak figyelmeztethetné a hatóság a kis- és közepes vállalkozásokat, ha megsértik az Európai Unió most hatályba lépő általános adatvédelmi rendeletét (GDPR) - közölte a Miniszterelnökséget vezető miniszter csütörtökön Budapesten sajtótájékoztatón.

  • SZÉP kártya

    Pünkösdöt követően nagyjából még 3,1 milliárd forint május végig elköltendő összeg maradt a SZÉP-kártyákon - tájékoztatták az MTI-t a kártyakibocsátó pénzintézetek.

  • 50 rubeles orosz aranyérme

    Oroszország nem változtat az adórendszerén az elkövetkező hat évben - jelentette ki Anton Sziluanov, Oroszország első miniszterelnök-helyettese, pénzügyminiszter kedden, a Szentpétervári Nemzetközi Gazdasági Fórumon.

  • robot

    A mesterséges intelligencia (MI) elterjedése hozzájárul a munkahelyterméshez, az új állások betöltéséhez azonban egyelőre hiányzik a megfelelő szakembergárda – mutat rá az MIT és az EY felmérése.

  • Fotó: shutterstock

    Azoknál a családi vállalatoknál, ahol az öröklés sorrendje egyértelmű és megegyezik a törvényes renddel, feleslegesnek tűnhet végrendelkezni, azonban a gyakorlat nem ezt mutatja. Ha az örökösök nem értenek egyet, hosszú évekig húzódó pereskedés kezdődhet, ami a kapcsolatok mellett a cég teljesítményére is kihat. A cégvagyon megóvása és a vállalat jövője az érintetteken is túlmutat, hiszen Magyarországon a GDP több mint felét családi cégek állítják elő, jelentős részükben pedig aktuális probléma a generációváltás.