A GDPR rendelet 4. cikk (12) bekezdése az adatvédelmi incidenst úgy határozza meg, hogy
- „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.
Az infotörvény ugyanerre a következő definíciót használja:
- „az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi”
Hasonló, de nem ugyanaz… 😊
A 29-es munkacsoport máig érvényben lévő iránymutatása szerint:
- „megsemmisítés”: az az eset, amikor az adatok egyáltalán nem, vagy az adatkezelő számára nem használható formában léteznek.
- „károsodás”: az az eset, amikor a személyes adatok módosultak, sérültek, vagy már nem hiánytalanok.
- „elvesztés”: az adatok még léteznek, de az adatkezelő már nem rendelkezik felettük, nem fér hozzájuk, vagy azok nincsenek a birtokában.
- „jogosulatlan vagy jogellenes adatkezelés”: a személyes adatok közlése (vagy hozzáférhetővé tétele) arra jogosulatlan címzettek számára, illetve bármilyen egyéb, az általános adatvédelmi rendeletbe ütköző adatkezelés.
A lényeg: a személyes adatok megsértésének típusait úgy soroljuk be, ahogy azok befolyásolják az adatok
- titoktartását,
- integritását, és
- rendelkezésre állását.
A rendelkezésre állás megsértése csak ideiglenes lehet, és az adatkezelőknek mérlegelniük kell, hogy a megsértés a másik két alapelvének valamelyikére vonatkozik-e, vagy befolyásolja-e az érintettek jogait és szabadságait.
Noha az incidens bejelentésére vonatkozó követelmények a személyes adatokra és az érintettekre gyakorolt hatásokra összpontosítanak, magának az incidensnek a meghatározása nehezebb lehet.
A szervezet adatainak megsértése fogalma egyszerűnek tűnik, de nem mindig egyszerű megállapodni abban, hogy mi minősül ennek. Például ez csak a rendszerhez való jogosulatlan hozzáférés kísérlete, vagy az engedélyezett módon megszerzett adatok engedély nélküli felhasználása?
Mindenképpen céges döntés szükséges, még bármilyen incidens bekövetkezése előtt…
Egy megközelítés az ENISA anyagai alapján:
- IT-eszközök elvesztése: elveszített, vagy ellopott eszközök – laptopok, USB-meghajtók, telefonok, stb.
- Levelezés: levél elküldése e-mailben vagy e-mailben helytelen címre, személyes adatokkal.
- A dokumentumok nem megfelelő selejtezése: személyes adatokat a szemetesben, nem megfelelően törölt merevlemezek selejtezése, továbbadása, stb.
- Hackelés: rosszindulatú támadások a számítógépes hálózatokon.
- Műszaki hiba: előre nem látható bonyodalom egy informatikai rendszerben.
- Lopás: adatlopás papíralapú vagy elektronikusan tárolt formában, stb.
- Jogosulatlan hozzáférés: jogos felhasználó, jogosulatlan hozzáférése.
- Jogosulatlan terjesztés: személyes adatok terjesztése.
Az adatvédelmi tisztviselő (DPO) első fontos lépése annak áttekintése, hogy milyen incidenseket vagy eseményeket tekint az adott szervezet adatvédelmi incidensnek. Noha valószínűleg nagyon sok biztonsági esemény történik a cégben folyamatosan (IP címek pingelésétől, az adathalász-kísérletekig), a hivatalos, szabályszerű incidenskezelési folyamatot csak akkor kell beindítani, ha egy esemény megfelel a szervezet ilyen fogalommeghatározásának.
Egyértelműnek kell lennie annak is, hogy az adatkezelő szervezetében ki a felelőse annak, hogy egy eseményt a GDPR szerinti adatkezelési incidensnek nyilvánítson, hogy megindíthassa az előre szabályozott folyamatokat, eldöntse az ilyenkor szükséges kérdéseket (pl. hatósági értesítések, érintettek értesítése, külső szakértők bevonása, stb.)