A KBL Legal

ADATVÉDELMI INCIDENS KEZELÉSI

SZABÁLYZATA


A Kovács Balázs László Ügyvédi Iroda (a továbbiakban: Adatkezelő), Magyarország Alaptörvényében foglaltakkal és az információs önrendelkezési jogról és az információszabadságról szóló 2011. CXII. törvény (a továbbiakban: Info tv.), valamint az Európai Parlament és a Tanács (EU) 2016/679 (2016. április 27.) számú általános adatvédelmi rendelete (a továbbiakban: „GDPR”) rendelkezéseivel összhangban, a személyes adatok védelmének biztosítása érdekében az alábbiak szerint alkotja meg az adatvédelmi incidensekre vonatkozó szabályzatát.


1. Alapvetések

Adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat az érintetteknek, többek között:

  • a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását;

  • a hátrányos megkülönböztetést;

  • a személyazonosság-lopást vagy a személyazonossággal való visszaélést;

  • a pénzügyi veszteséget;

  • az álnevesítés engedély nélküli feloldását;

  • a jó hírnév sérelmét;

  • a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését;

  • a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.


2. Bejelentés

Az Adatkezelő, illetve az Adatfeldolgozó által kezelt adatokkal kapcsolatos bármilyen adatvédelmi incidens bejelentésére az Adatkezelő az [email protected] e-mail címet működteti.

Az Adatkezelő biztosítja, hogy a fentiekben megadott elektronikus elérhetőséget folyamatos ellenőrzés alatt tartja.

Az Adatfeldolgozó a lehetséges adatvédelmi incidenst, az arról való tudomásszerzését követő 24 órán belül elektronikus úton köteles bejelenteni az Adatkezelőnek.


3. Adatkezelő által vállalt kötelezettségek

Az Adatkezelő a mindenkori vezető tisztségviselője útján a GDPR rendelkezéseinek megfelelően nyilvántartást vezet az adatvédelmi incidensekről. Ezen nyilvántartás tartalmazza az egyes adatvédelmi incidensekhez kapcsolódó tényeket, azok hatásait és az orvoslásukra tett intézkedéseket.

Az Adatfeldolgozó által megküldött, vagy saját hatáskörben az Adatkezelő tudomására jutott adatvédelmi incidens bejelentést, vagy belső rendszerében észlelt jogsértés gyanúját 48 órán belül megvizsgálja az Adatkezelő, és dönt arról, hogy a lehetséges jogsértés kockázatot jelent-e az érintett jogaira és szabadságaira nézve.

Amennyiben a vizsgálat alapján bebizonyosodik, hogy nem történt adatvédelmi incidens, úgy erről az Adatkezelő tájékoztatja az esetleges bejelentőt, és lezárja az ügyet.

Abban az esetben, ha az Adatkezelő az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, akkor az illetékes felügyeleti hatóság felé történő bejelentés mellőzhető. Ide tartoznak azok az esetek, amikor megfelelő intézkedések – mint például titkosítás alkalmazása – nem alkalmazhatók a személyes adatokhoz való jogosulatlan hozzáférés tekintetében.

Amennyiben a vizsgálat alapján bebizonyosodik, hogy jogsértés történt, azt a tudomásszerzést követő 72 órán belül az Adatkezelő a vezető tisztségviselője útján bejelenti az illetékes felügyeleti hatóság felé.

Az illetékes felügyeleti hatóság felé tett bejelentés tartalmazza:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és a hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

  • az adatvédelmi tisztviselő (adott esetben) vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

  • az Adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

  • az adott adatvédelmi incidens sajátosságaira tekintettel az Adatkezelő fenntartja magának a jogot arra, hogy a bejelentésben további, az ügy szempontjából lényeges információkat tüntessen fel.

Ha a bejelentés 72 órán belül nem tehető meg, a később megtett bejelentésben az Adatkezelő megjelöli a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben közli.

Amennyiben a vizsgálat alapján bebizonyosodik, hogy nagy kockázattal járó jogsértés történt a természetes személyek jogaira és szabadságaira nézve, legkésőbb a tudomásszerzést követő 72 órán belül az Adatkezelő a vezető tisztségviselője útján tájékoztatja az érintettet az adatvédelmi incidensről.

Az érintett részére adott tájékoztatásban az Adatkezelő világosan és közérthetően ismerteti az adatvédelmi incidens jellegét, és közli a felügyeleti hatóság felé kötelezően tett bejelentés adattartalmát, továbbá felvilágosítást ad mindazon lépésekről, melyekkel az érintett megvédheti magát a jogsértés következményeitől. Az érintett részére adott tájékoztatást minden esetben külön üzenet formájában (e-mailen, postai levél útján, vagy fax üzenetben) közli az Adatkezelő.

Az Adatkezelő felhívja az érintettek figyelmét, hogy nem szükséges az érintett adatvédelmi incidensről való tájékoztatása, ha:

  • megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre az Adatkezelő, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazta;

  • az adatvédelmi incidenst követően olyan további intézkedéseket tett az Adatkezelő, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

  • a tájékoztatás aránytalan erőfeszítést tenne szükségessé az Adatkezelő részéről. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján (honlapon történő közlemény közzétételével vagy sajtóközlemény kibocsátásával) tájékoztatja az Adatkezelő, vagy egyéb olyan intézkedést tesz, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.


4. Záró rendelkezések

A jelen Szabályzatban nem szabályozott kérdésekben az Adatkezelő mindenkor hatályos Adatvédelmi és adatkezelési szabályzatának rendelkezései az irányadók azzal, hogy a jelen Szabályzat, illetve az Adatvédelmi és adatkezelési szabályzat közötti bármely eltérés esetén az Adatvédelmi és adatkezelési szabályzatban foglaltak az irányadók.

A jelen Szabályzattal kapcsolatban felmerülő bármely kérdés vagy észrevétel esetén az alábbi elérhetőségeken áll az érintettek rendelkezésére az Adatkezelő:

  • Levelezési cím: 1054 Budapest, Aulich utca 7. 2. em. 4.

  • E-mail cím: [email protected]

A jelen Szabályzat az Adatkezelő általi közzététellel (honlapon való elhelyezéstől) hatályosul, és határozatlan időtartamra szól (visszavonásig vagy későbbi módosított Szabályzat közzétételével veszti hatályát).

Jelen Szabályzat elfogadásával az érintett kifejezetten elfogadja, hogy az Adatkezelő bármikor jogosult a Szabályzat egyoldalú módosítására azzal, hogy a módosítást legkésőbb annak hatályba lépésének napján az érintettek számára hozzáférhetővé teszi.