A GDPR által meghatározott definíció szerint adatvédelmi incidensnek minősül a "biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredeményezi".
Péterfalvi Attila, a NAIH elnökének elmondása alapján a Nemzeti Adatvédelmi és Információszabadság Hatósághoz 2018. május 25. - azaz a GDPR életbe lépése - és július 25. között összesen 79 adatvédelmi incidens-bejelentés történt Magyarországon. (Írországban - ahol ugye a Facebooknak és a Googlenek is van bejegyzett cége - ugyanekkor 1184 incidenst jelentettek.)
Milyen esetekben fordulak a hatósághoz?
A bejelentések tartalmát tekintve az alábbi 6 kategóriába lehet besorolni az adatvédelmi incidenseket:
Bár a GDPR azt a követelményt támasztja az adatkezelővel szemben, hogy az adatvédelmi incidenst indokolatlan késedelem nélkül - és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott - köteles bejelenteni, a hazai vállalkozások még nagy valószínűséggel nincsenek tisztában azzal, hogy akár egy rossz helyre küldött email is adatvédelmi incidensnek minősül. Így a kapott számok nem tükrözik teljesen a valóságot, hiszen életszerűtlen, hogy a közel 2 millió magyar vállalkozásnál alig több mint napi egy alkalommal történik adatvédelmi incidens.
A NAIH által készített adatvédelmi incidensbejelentő rendszert adatkezelőként ITT érhetjük el.
Amennyiben viszont érintettként szeretnénk panaszt tenni, azt a hatóság panaszbejelentő / online ügyindító rendszer használatával vagy az ugyfelszolgalat@naih.hu email címre küldött üzenettel tudjuk megtenni.
Te tudod, mi lehet adatvédelmi incidens?
Koppints IDE a példákért!