A múlt hét csütörtökön megrendezett ISACA 2018 IT biztonsági konferencián jelentette be Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke azt, hogy nem egészen két hét alatt már tizennégy adatvédelmi incidensről érkezett hivatalos jelzés a hatóság részére. Azt is kiemelte, hogy az adatkezelési nyilvántartás kulcsdokumentum GDPR szempontból, mivel ez a dokumentum a kiinduló pontja az adatvédelmi megfelelőségi projekteknek és egyben az esetleges hatósági ellenőrzéseknek is.
Adatvédelmi incidensek: már nem elég a saját nyilvántartás
Fontos változás az adatvédelmi incidensekkel kapcsolatos szabályozásban, hogy május 25-től már nem elég az, hogy egy cég saját maga számára vezeti egy nyilvántartásban az ilyen eseményeket, hanem amennyiben az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, azt be kell jelentenie az adatvédelmi hatóság felé, és az érintetteket is értesíteni kell. Az ISACA rendezvényen Péterfalvi Attila azt a tényt közölte a hallgatósággal, hogy már 14 adatvédelmi incidenst jelentettek be az adatvédelmi hatóságnak.
Incidens: a biztonság olyan sérülése, amely a kezelt személyes adat véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatkezelési nyilvántartás
A hatóság elnöke kiemelte, hogy minden cégnél, intézménynél alapdokumentumnak kell lennie az adatkezelési nyilvántartásnak, mely tartalmazza az adatkezelésekkel kapcsolatos legfontosabb információkat és egy dokumentumon átláthatóvá teszi a cég adatkezeléseit. Ennek a kulcsszerepnek köszönhetően gyakorlatilag minden hatósági ellenőrzés/vizsgálat ennek a dokumentumnak a bekérésével fog kezdődni, hiszen egyrészt ennek a dokumentumnak az elkészítése kötelező a GDPR szerint, másrészt az adatkezelésekkel kapcsolatos részletes kérdéseket is könnyebb feltenni a nyilvántartás alapján.
Adatkezelési tevékenységek nyilvántartása: minden adatkezelő köteles az általa végzett adatkezelési tevékenységről nyilvántartást vezetni, melynek információ tartalmát is részletesen szabályozza a GDPR. Fontos, hogy az adatfeldolgozóknak is kötelezettségük van az általuk, más nevében végzett adatkezelési tevékenységek nyilvántartásba vételére.
Hatósági állásfoglalások, tájékoztatók
Egy kimutatás szerint a búcsúzó Infotv. 8 ezer szóból állt és nagyon sok hatósági határozat, állásfoglalás és tájékoztató segítette ennek a jogszabálynak az értelmezését. Ezzel szemben a GDPR már kb. 25 ezer szóból áll, de a jogalkalmazási/jogértelmezési munkát még csak maroknyi állásfoglalás és tájékoztatás segíti.
Arra a kérdésre, hogy várható-e valamilyen előzetes jelzés a hatóság részéről arra vonatkozóan, hogy milyen kronológiával és milyen témákkal fog a hatóság állásfoglalásokat kiadni, azt válaszolta Péterfalvi Attila, hogy a magyar hatóság elsősorban az Európai Adatvédelmi Testület által kiadott iránymutatások, ajánlások és legjobb gyakorlatok átvételére hagyatkozik. Ennek indokául azt emelte ki a hatóság elnöke, hogy a GDPR szellemével és betűjével sem egyeztethető össze az a gyakorlat, hogy az egyes tagállami hatóságok önálló értelmezéseket adjanak ki, ezáltal megbontva az egységes uniós szabályozást.
