Az adatvédelmi incidens fogalmát a GDPR 4. cikk 12. pontja határozza meg, mely alapján adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Adatvédelmi incidens gyanúja esetén az adatkezelő kötelezettsége haladéktalanul megvizsgálni a bejelentést és eldöntenie, hogy valódi incidens történt e vagy csak téves riasztásról van szó.
Az adatkezelőnek meg kell vizsgálnia és meg kell állapítania a következőket:
- az incidens bekövetkezésének időpontját és helyét,
- az incidens leírását, körülményeit, hatásait,
- az incidens során kompromittálódott adatok körét és számát,
- az incidenssel érintett személyek körét,
- az incidens elhárítása érdekében tett intézkedéseket,
- a kármegelőzés, elhárítás és csökkentés érdekében tett intézkedéseket.
Adatkezelő bejelentési kötelezettsége adatvédelmi incidens esetén
Az adatkezelő kötelezettsége, hogy az adatvédelmi incidenst haladéktalanul, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott bejelentse a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) kivéve, ha valószínűsíthető, hogy az incidens nem jár kockázattal az érintettek jogaira és szabadságaira nézve.
Adatkezelő nyilvántartási kötelezettsége adatvédelmi incidens esetén
Az adatkezelő kötelezettsége, hogy belső nyilvántartásban rögzítsen minden adatvédelmi incidenst. A nyilvántartásban rögzíteni kell az adatkezelő által megtett intézkedéseket is.
Adatkezelő tájékoztatási kötelezettsége adatvédelmi incidens esetén
Amennyiben az adatvédelmi incidens súlyos az adatkezelő köteles indokolatlan késedelem nélkül tájékoztatni az érintetteket az adatvédelmi incidensről.
