Válasz
Az adatvédelmi incidens akkor következik be, amikor biztonsági incidens éri az adatokat, amelyekért az ön vállalkozása/szervezete felel, melynek eredményeképpen sérül a titoktartási kötelezettség, a hozzáférhetőség vagy az integritás. Ha ez bekövetkezik és az incidens feltehetően kockázatot jelent az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, a vállalkozása/szervezete köteles bejelenteni az esetet a felügyeleti hatóságnál. Amennyiben vállalkozása/szervezete adatfeldolgozó, minden adatvédelmi incidenst jelentenie kell az adatkezelőnek.
Amennyiben az adatvédelmi incidens nagy kockázatot jelent az érintettekre nézve, őket is tájékoztatni kell (hacsak nincsenek korábban bevezetett hatékony technikai és szervezési védelmi intézkedések vagy egyéb intézkedések, amelyek biztosítják, hogy a kockázat bekövetkezése már nem valószínű).
Szervezetként létfontosságú a megfelelő technikai és szervezési intézkedések végrehajtása a személyes adatok esetleges megsértésének elkerülése érdekében.
Példák
A szervezetnek értesítenie kell az adatvédelmi hatóságot és az érintetteket
Egy textilipari vállalkozás alkalmazottainak adatai nyilvánosságra kerültek. Az adatok között szerepel az alkalmazottak lakcíme, családi állapota, havi bevétele és minden alkalmazott egészségügyi kiadása. Ebben az esetben a textilipari vállalkozásnak értesítenie kell a felügyeleti hatóságot az incidensről. Mivel a személyes adatok különleges adatokat (például egészségügyi adatokról) tartalmaznak, a vállalkozásnak az alkalmazottakat is tájékoztatnia kell.
Egy kórházi dolgozó úgy dönt, hogy lemásolja a betegek adatait egy CD-re és közzéteszi őket az interneten. A kórház néhány nappal később felfedezi a történteket. Amint a kórház számára kiderül a jogsértés, 72 órán belül értesítenie kell a felügyeleti hatóságot, és mivel a személyes adatok különleges adatokat tartalmaznak – például egyes betegek esetében rák, terhesség stb. –, tájékoztatnia kell a betegeket is. Ebben az esetben kétséges, hogy a kórház megfelelő technikai és szervezési intézkedéseket hajtott végre. Ha kórház megfelelő védelmi intézkedéseket hozott volna (pl.az adatok titkosításával), nem állt volna fenn valós kockázata annak, hogy ilyen incidens bekövetkezik, és nem volna szükség a betegek értesítésére.
A vállalkozásnak tájékoztatnia kell az ügyfeleit, akiknek értesíteniük kell a felügyeleti hatóságot és az érintetteket
Egy felhőalapú tárolást nyújtó szolgáltató számos merevlemezt veszít el, amelyeken különböző ügyfelek személyes adatai találhatók. A vállalkozásnak azonnal tájékoztatnia kell az ügyfeleit, amint az incidensről tudomást szerzett. Az ügyfeleknek tájékoztatniuk kell a felügyeleti hatóságot és az érintetteket attól függően, hogy az adatfeldolgozó milyen adatokat dolgozott fel.
Hivatkozások
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.