A szervezeten belül ki kell alakítani a megfelelő felelősségi köröket és struktúrákat, így „vezetői felelősségeket és eljárásokat kell kialakítani, hogy biztosítható legyen a gyors, hatásos és rendezett válaszadás”.

Ezt követően intézkedni kell annak érdekében, hogy a szervezeten belül, a megfelelően kommunikált csatornákon keresztül a munkavállalók, ügyfelek, alvállalkozók – tehát külső és belső érintettek egyaránt – jelenteni tudják az egyes eseményeket, illetve kontroll gyengeségeket.
Az incidensek tényleges kezelésére akkor kerül sor, ha a szervezet felfedezi, hogy a monitorozott és gyűjtött események között olyan nem várt, vagy nem kívánt esemény van, amelyek nagy valószínűséggel veszélyeztetik a személyes adatok feldolgozását, tárolását vagy továbbítását.
Az incidensek kezelésére célszerű szoftvert használni.
Az első lépés az incidens validálása, azaz annak az eldöntése, hogy ténylegesen adatvédelmi incidensről van szó, vagy téves riasztásról.
A validálást követően, az incidenst hatása alapján célszerű priorizálni és eszerint a prioritási szint szerint erőforrásokat hozzárendelni a további incidenskezeléshez.
Az Adatkezelőnek több feladat is van adatvédelmi incidens előfordulása esetén:
• az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával a tudomásszerzést követően be kell jelenteni az illetékes felügyeleti hatóságnál;
• ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről;
• az adatkezelő nyilvántartja az adatvédelmi incidenseket.

Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
Ha az adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor a bejelentés mellőzhető. (Pl. Az adatkezelő által rossz címre küldött levél, úgy érkezik vissza, hogy nem kerül felbontásra, azaz a személyes adatokhoz nem fért hozzá illetéktelen személy.)

Az ÉRINTETTET nem kell az adatvédelmi incidensről tájékoztatni, ha
• az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták (különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat);
• az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;
• a tájékoztatás aránytalan erőfeszítést tenne szükségessé. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Pl. sajtóközlemény kiadása, honlapon történő tájékoztatás)

A további károk megelőzése érdekében az incidenseket, az érintett rendszereket, személyeket a validálásukat követően be kell határolni és el kell különíteni. Ezzel párhuzamosan gondoskodni kell az incidens bekövetkezését alátámasztó bizonyítékok megőrzésén és begyűjtésén, akár külön szakértő igénybe vételével.
A bizonyítékok begyűjtését és biztosítását követően lehet megkezdeni a károk helyreállítását és az üzemszerű működés visszaállítását.
A GDPR a bizonyítékok tekintetében nem tartalmaz kifejezett, taxatív listát, ugyanakkor az alábbi bizonyítékok megőrzése kiemelten javasolt:
• az adatvédelmi incidens jellegére, beleértve az érintettek kategóriáira és hozzátevőleges számára vonatkozó bizonyítékok megőrzése
• az incidenssel érintett adatok kategóriáira és hozzátevőleges számára vonatkozó bizonyítékok megőrzése
• az adatvédelmi incidensből eredő valószínűsíthető következményekre vonatkozó bizonyítékok megőrzése
• az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedésekre vonatkozó bizonyítékok megőrzése

BOOOK Kiadó Kft.
2018.07.11.