GDPR: már 14 adatvédelmi incidenst jelentettek be az adatvédelmi hatóságnak

GDPR: már 14 adatvédelmi incidenst jelentettek be az adatvédelmi hatóságnak

A múlt hét csütörtökön megrendezett ISACA 2018 IT biztonsági konferencián jelentette be Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke azt, hogy nem egészen két hét alatt már tizennégy adatvédelmi incidensről érkezett hivatalos jelzés a hatóság részére. Azt is kiemelte, hogy az adatkezelési nyilvántartás kulcsdokumentum GDPR szempontból, mivel ez a dokumentum a kiinduló pontja az adatvédelmi megfelelőségi projekteknek és egyben az esetleges hatósági ellenőrzéseknek is.

Adatvédelmi incidensek: már nem elég a saját nyilvántartás

Fontos változás az adatvédelmi incidensekkel kapcsolatos szabályozásban, hogy május 25-től már nem elég az, hogy egy cég saját maga számára vezeti egy nyilvántartásban az ilyen eseményeket, hanem amennyiben az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, azt be kell jelentenie az adatvédelmi hatóság felé, és az érintetteket is értesíteni kell. Az ISACA rendezvényen Péterfalvi Attila azt a tényt közölte a hallgatósággal, hogy már 14 adatvédelmi incidenst jelentettek be az adatvédelmi hatóságnak.

Incidens: a biztonság olyan sérülése, amely a kezelt személyes adat véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Adatkezelési nyilvántartás

A hatóság elnöke kiemelte, hogy minden cégnél, intézménynél alapdokumentumnak kell lennie az adatkezelési nyilvántartásnak, mely tartalmazza az adatkezelésekkel kapcsolatos legfontosabb információkat és egy dokumentumon átláthatóvá teszi a cég adatkezeléseit. Ennek a kulcsszerepnek köszönhetően gyakorlatilag minden hatósági ellenőrzés/vizsgálat ennek a dokumentumnak a bekérésével fog kezdődni, hiszen egyrészt ennek a dokumentumnak az elkészítése kötelező a GDPR szerint, másrészt az adatkezelésekkel kapcsolatos részletes kérdéseket is könnyebb feltenni a nyilvántartás alapján.

Adatkezelési tevékenységek nyilvántartása: minden adatkezelő köteles az általa végzett adatkezelési tevékenységről nyilvántartást vezetni, melynek információ tartalmát is részletesen szabályozza a GDPR. Fontos, hogy az adatfeldolgozóknak is kötelezettségük van az általuk, más nevében végzett adatkezelési tevékenységek nyilvántartásba vételére.

Hatósági állásfoglalások, tájékoztatók

Egy kimutatás szerint a búcsúzó Infotv. 8 ezer szóból állt és nagyon sok hatósági határozat, állásfoglalás és tájékoztató segítette ennek a jogszabálynak az értelmezését. Ezzel szemben a GDPR már kb. 25 ezer szóból áll, de a jogalkalmazási/jogértelmezési munkát még csak maroknyi állásfoglalás és tájékoztatás segíti.

Arra a kérdésre, hogy várható-e valamilyen előzetes jelzés a hatóság részéről arra vonatkozóan, hogy milyen kronológiával és milyen témákkal fog a hatóság állásfoglalásokat kiadni, azt válaszolta Péterfalvi Attila, hogy a magyar hatóság elsősorban az Európai Adatvédelmi Testület által kiadott iránymutatások, ajánlások és legjobb gyakorlatok átvételére hagyatkozik. Ennek indokául azt emelte ki a hatóság elnöke, hogy a GDPR szellemével és betűjével sem egyeztethető össze az a gyakorlat, hogy az egyes tagállami hatóságok önálló értelmezéseket adjanak ki, ezáltal megbontva az egységes uniós szabályozást.

mm
Ormós Zoltán

Ügyvéd, internetjogász, az Ormós Ügyvédi Iroda vezetője. 2000-ben alapította az Ormós Ügyvédi Irodát, mely az informatikai-távközlési szakterületre koncentráló jogi tanácsadási tevékenység Magyarországon elsőként alkalmazott sikeres koncepciójára építve nemzetközi összehasonlításban is számottevő elméleti tudást és gyakorlati tapasztalatot halmozott fel az elektronikus kereskedelmi jog, az informatikai jog, a távközlési jog, a szoftverjog, az adatvédelmi jog, valamint a szerzői jog területén.

Üzenet a szerzőnek

Kérdésed van?
Hozzászólnál?

Vedd fel a kapcsolatot a szerzővel, várjuk az üzenetedet!