A GDPR 4. cikke alapján adatvédelmi incidensnek „a biztonság olyan sérülése minősül, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi” – írja az Adózóna.hu.

Erre jellemző példa egy adathordozó vagy küldemény elvesztése, a téves címzett részére történő adattovábbítás vagy az informatikai rendszerbe történő jogosulatlan behatolás. Amennyiben ilyen eset történik, az adatkezelőnek azt haladéktalanul ki kell vizsgálnia, illetve annak súlyosságához igazodva meg kell tenni a szükséges intézkedéseket.

Ha ugyanis az adatvédelmi incidens valószínűsíthetően magas kockázatot jelent, abban az esetben azt mind a felügyeleti hatóságnak – erre 72 óránk van –, mind pedig az érintettnek jelezni kell. Magas kockázat hiányában az adatvédelmi incidenst elég csak a felügyeleti hatósághoz bejelenteni.

Ugyanakkor minden adatvédelmi incidenst nyilvántartásba kell venni – akár egy egyszerű Excel-táblázatban is –, akkor is, ha semmilyen kockázatot nem tár fel a vizsgálat.

Amennyiben egy adatvédelmi incidenshez kapcsolódóan a felügyeleti hatóság vizsgálódni kezd, a következőkről kell nyilatkoznunk:

• mikor és hogyan szereztünk tudomást az incidensről
• betartottuk a szigorú értesítési határidőt a hatóság, illetve esetlegesen az érintettek felé
• az incidens kockázatát milyen szempontrendszer alapján állapítottuk meg (mindezt azt is jelenti, hogy a vállalatnak rendelkeznie kell kockázatértékelési eljárásrenddel)
• mi vezetett az adatvédelmi incidenshez
• milyen intézkedésekkel akadályozzuk meg annak jövőbeli megismétlődését

Az általános forgalmi adó és más adószabályok gyakorlati alkalmazásához segítséget nyújt a HVG Adó 2020 adószakértők közreműködésével készített különszáma.

A HVG Adó 2020 kiadványát ide kattintva is megrendelheti.