() Az incidensbejelentő portál célja kizárólag annak elősegítése, hogy az adatkezelők számára az incidensbejelentés folyamatát megkönnyítse, az panaszbenyújtásra nem szolgál. Az elektronikus ügyintézésre nem kötelezett és azt önként sem vállaló adatkezelő postai úton a Hatóság levelezési címén (1363 Budapest, Pf. Adatvédelmi incidens bejelentése naih and eill. 9. ), továbbá személyes átadással, személyazonosságának igazolását követően a Hatóság nyitvatartási idejében, előzetes időpont egyeztetése nélkül jelentheti be az adatvédelmi incidenst.
Sokszor éppen az a baj – és a büntetés egyik oka – hogy nem történik meg a bejelentés. Ha még részletesebb információkat szeretne az adatvédelmi incidensekkel kapcsolatos teendőkről, a fenti gombra kattintva olvassa el Adatvédelmi kisokos sorozatunk közérthető szakmai írásait! Emellett webshopunk GDPR-kínálatában is szerepel egy konkrétan az incidensekkel foglalkozó összefoglaló! Hasonló tartalmakért pedig kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük! Adatvédelmi incidens - Net-Jog.hu. Iratkozzon fel hírlevelünkre! Rovatok: GDPR - Crosssec
03. 04. (b) pont (célhoz kötöttség), 5. (c) pont (adattakarékosság), 6. f) pont (jogalap - jogos érdek), 6. A felügyelő hatóság és az érintett értesítésének a rendeletben pontosan meghatározott információkat kell tartalmaznia. Mentesülés az értesítési kötelezettség alól A GDPR bizonyos körülmények fennállása esetén mentesülést biztosít az érintettek értesítésének kötelezettsége alól. Zsarolóvírus, ransomware támadás, incidens bejelentése a NAIH felügyeleti hatóság felé – MAKAY. Így például: ha az adat titkosítva volt és értelmezhetetlen a jogosulatlanul hozzáférő számára, vagy valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságára nézve, vagy ha az értesítés aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása). Az adatsértés bejelentése Az adatvédelmi incidens bejelentéséhez is külön követelményeknek kell megfelelniük az adatkezelőknek.
Ezen adatok ráadásul a magánszféra szempontjából "érzékeny" adatoknak minősülnek, hiszen az adatbázisban szereplő adatokkal (például egy adott személy neve, anyja neve, születési helye és ideje vagy a személyi igazolványának száma) személyazonosság-lopás vagy személyazonossággal visszaélés is elkövethető (például: jogellenesen online szerződést lehet kötni valakinek a nevében). A NAIH határozata alapján megállapítható, hogy a cégnek ezen kockázatokra figyelemmel kellett volna meghoznia és alkalmaznia a szükséges biztonsági intézkedéseket. Adatvédelmi incidensek - Módszertani útmutató az adatvédelmi incidensek értékeléséhez és kezeléséhez - Jogi Fórum. A Hatóság értékelése szerint a Digi nem gondoskodott a kockázatokkal arányos adatbiztonsági intézkedésekről – emelte ki a SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője. Egyrészt, bár a cég azt állította, hogy rendszeresen végez sérülékenységvizsgálatot az informatikai rendszereiben, ezek a vizsgálatok az incidens bekövetkezéséig a weboldalra nem terjedtek ki. A sérülékenységvizsgálatok egyébként épp azt hivatottak feltérképezni, hogy milyen szoftverhibák, gyenge jelszavak vagy más hibás beállítások lehetnek például egy honlappal kapcsolatban.
A kockázatot tovább növelte, hogy a sérülékenység hosszú ideig fennállt, a személyes adatokat a Google is indexálta, valamint az a körülmény is, hogy az illetéktelen hozzáférések pontos száma sem ismert. Adatvédelmi incidents bejelentése naih . NAIH: Az adatkezelés biztonságáért mindkét fél önállóan is felelős A GDPR 32. cikke alapján az adatkezelő és az adatfeldolgozó (tehát mindkét fél) a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A kockázatarányos védelem megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az olyan kockázatokat, amelyek különösen a továbbított, tárolt, vagy más módon kezelt személyes adatok véletlen, vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából, vagy az azokhoz való jogosulatlan hozzáférésből erednek.
A személyes adatok kezelését és az azért való felelősséget szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) gondosan körülírt kötelezettségrendszert telepít mind az adatkezelőkre, mind pedig az általuk az adatkezelésbe bevont úgynevezett adatfeldolgozókra. Habár az adatfeldolgozó mulasztásáért az adatkezelőn túlmenően maga az adatfeldolgozó is felelősséggel tartozik, ez idáig Magyarországon nem született adatfeldolgozót bírságoló hatósági döntés. A Nemzeti Adatvédelmi és Információszabadság Hatóság legújabb döntésében azonban az adatfeldolgozó gondatlanságáért mindkét felet megbírságolta. Adatvédelmi incidens bejelentése nain de jardin. A tanulságok levonásához lássuk, mi vezetett a bírsághoz! Gondatlan volt az informatikai rendszert fejlesztő, üzemeltető vállalkozás A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a weboldalon keresztül bárki számára elérhetőek az utazási iroda természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással, valamint a szerződéskötéssel kapcsolatos adatok.
Ennek része az adatfeldolgozó reputációjának, illetve szakmai megfelelőségének ellenőrzése. Ezen túlmenően azonban azt is szükséges vizsgálni, hogy az adatfeldolgozó az adatkezelési kötelezettségek megtartását képes-e teljesíteni. A megfelelő adatfeldolgozó kiválasztása tehát előzetes vizsgálat eredménye lehet.