JAMINAGRO Kft.
Incidenskezelési szabályzata
Hatályba lépés napja: | 2020 ………… |
Hatályon kívül helyezi: | —— |
Jóváhagyom és hatályba léptetem: | ………………………………………… vezető |
Verziószám | Változtatás |
v01 | Első kiadás |
Tartalomjegyzék
Adatvédelmi incidens esetén követendő eljárás:. 5
Adatvédelmi incidens kockázatelemzése:. 5
Bejelentés az adatvédelmi hatóságnak:. 7
Jelen szabályzat célja, hogy összefoglalja mi a követendő eljárás adatvédelmi incidens esetén a JAMINAGRO Kft. szervezetén belül.
Az Általános Adatvédelmi Rendelet [Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről, azaz General Data Protection Regulation (közkeletű rövidítése: GDPR)] határozza meg az adatvédelmi incidens fogalmát és annak felmerülése esetén követendő eljárást. Jelen szabályzat a GDPR rendelkezéseit és a kapcsolódó iránymutatásokat foglalja össze annak érdekében, hogy a társaság eleget tudjon tenni az adatvédelmi jogi előírásoknak.
„adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidens fő altípusai:
1. Bizalmassági incidens: személyes adatok véletlen vagy felhatalmazás nélküli közlése, vagy az ezekhez való hozzáférés.
2. Rendelkezésre állással kapcsolatos incidens: személyes adatok véletlen vagy jogtalan megsemmisítése vagy ezek elvesztése.
3. Sértetlenséggel kapcsolatos incidens: személyes adatok véletlen vagy jogtalan megváltoztatása.
4. Ezek bármilyen kombinációja
Példák adatvédelmi incidensre:
- feltörik az IT rendszert;
- megsemmisülnek a tárolt adatok;
- eltűnik egy céges mobiltelefon, laptop;
- rossz helyre kerül email vagy postai levél kiküldésre, amely személyes adatot tartalmaz;
- belső használatú weboldalon tárolt ügyféladatokat ellopják;
- áramkimaradás miatt elérhetetlen az ügyfélszolgálat telefonja;
- zsarolóvírus támadás éri a rendszert vagy bármely munkatárs gépét;
- támadás vagy emberi mulasztás miatt hozzáférhetővé, nyilvánossá válnak a felhasználónevek, jelszavak;
- hiba következik be a programban, amely a felhasználói belépési engedélyeket ellenőrzi;
- a hírlevél úgy megy ki, hogy minden címzett másolatban van és nem titkos másoltban;
- titkosított személyes adatok kulcsa elvész, megsemmisül, ellopják;
- személyes adatokat tartalmazó adathordozót ellopják, elvész;
- személyes adatokat titkosítva tartalmazó adathordozót ellopják, elvész, azonban a titkosítás kulcsa, illetve adatok másolata biztonságban van;
- eltűnnek az ügyféladatok
- átmenetileg elérhetetlenek a személyes adatok (kivéve, ha előre ütemezett rendszerleállás).
Adatvédelmi incidens esetén követendő eljárás:
- Minden munkavállalónk köteles a közvetlen felettese és/vagy az adatvédelmi tisztviselő (amennyiben ki lett nevezve) felé haladéktalanul jelezni, ha a biztonság valamilyen sérülését érzékeli. A vezetők haladéktalanul tájékoztatják az ügyvezetőt. Az adatvédelmi tisztviselő/adatvédelmi megbízott összegyűjti a lehető legtöbb információ az incidenskezelő csoport számára.
- A vezetés az alábbi összetételű incidenskezelő csoportot (csoport) hívja össze haladéktalanul, de legfeljebb 1 munkanapon belül:
- Cégvezető
- Adatvédelemért felelős
- Rendszergazda (ha informatikai jellegű)
- Az incidens kivizsgálásához szükséges belső, vagy külső szakértő.
Szabadságolásuk esetén szervezetszerű helyetteseiket szükséges bevonni.
- A Csoport megvizsgálja, hogy:
A) a biztonság sérülése érinti-e személyes adatok biztonságát (adatvédelmi incidensről van-e szó);
B) kockázatos-e a biztonság sérülése az érintettek jogaira nézve (milyen adatok érintettek, milyen mennyiségben, pótolhatók-e stb.);
C) alacsony vagy magas a fennálló kockázat;
D) milyen intézkedéseket lehet tenni a kockázatok csökkentésére;
E) szükséges-e az incidens bejelentése az adatvédelmi hatóság felé;
F) szükséges-e az érintettek értesítése.
- Amennyiben a Csoport megállapítja, hogy nem érinti a személyes adatok biztonságát a biztonság sérülése, azaz nem történt adatvédelmi incidens, sem az adatvédelmi hatóságot, sem az érintett személyeket nem kell értesíteni. A biztonság sérüléséről jegyzőkönyvet sem szükséges felvenni.
- Ha adatvédelmi incidens történt és a kockázatelemzés alapján az derül ki, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, az incidenst kizárólag a belső nyilvántartásban szükséges rögzíteni, az további lépést nem igényel. Ugyanígy szükséges eljárni, ha intézkedésekkel a kockázatot sikerül megszüntetni.
- Amennyiben a kockázatelemzés eredménye az, hogy az incidens valószínűsíthetően kockázattal jár az érintettek jogaira nézve és a negatív következményeket nem tudjuk hatékonyan elhárítani intézkedésekkel, az incidenst az arról való tudomásszerzésünket követő 72 órán belül be kell jelenteni az adatvédelmi hatóságnak (tipikusan: Nemzeti Adatvédelmi és Információszabadság Hatóság). A bejelentést az adatvédelmi tisztviselő teszi meg, ennek hiányában a stáb által kijelölt munkavállaló.
- Amennyiben a kockázatelemzés eredménye az, hogy az incidens valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve, az incidensről tájékoztatjuk az érintetteket: az incidens jellegétől függően a honlapunkon tájékoztatást teszünk közzé vagy más közvetlenebb módon értesítjük az érintetteket.
- Az adatvédelmi incidensekről a GDPR-ban előírt részletességgel nyilvántartást szükséges vezetni. Az adatvédelmi incidenst nyilvántartásba kell venni függetlenül attól, hogy a hatósági bejelentésre, illetve az érintettek értesítésére szükség van-e.
Adatvédelmi incidens kockázatelemzése:
A kockázatelemzés során meg kell állapítani, hogy az adatvédelmi incidens kockázattal jár-e az érintettek jogaira és szabadságaira nézve, azaz sérült-e a személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása. (Az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelme.)
A kockázatelemzés során meg kell állapítani, hogy az Adatkezelő köteles-e
1) bejelentést tenni az adatvédelmi hatóságnak és
2) értesíteni az érintett személyeket az incidensről.
Amennyiben megállapításra kerül, hogy sem a bejelentés, sem az értesítés nem indokolt, akkor is nyilvántartásba kell venni az adatvédelmi incidens bekövetkezését. (Lásd lentebb!)
Kockázat áll fenn, ha fizikai, vagyoni vagy nem vagyoni károkat okozhat az érintetteknek az adatvédelmi incidens. Ilyen kár lehet többek között, ha az incidens következménye lehet:
1.) a hátrányos megkülönböztetés,
2.) a személyazonosság-lopás vagy a személyazonossággal való visszaélés lehetősége,
3.) a pénzügyi veszteség,
4.) a jó hírnév sérelme,
5.) a személyes adatok feletti rendelkezés elvesztése,
6.) az érintettek jogainak korlátozása,
7.) az álnevesítés engedély nélküli feloldása,
8.) a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, illetve
9.) a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrány.
A kockázatelemzést objektív értékelés alapján kell elvégezni. A kockázatértékelés a valószínűségre és a súlyosságra terjed ki. A kockázatelemzés során vizsgálni kell:
- az incidens típusát – pl. a személyes adatok nyilvánosságra hozatala és elvesztése következményei eltérőek, lásd e-mail jelszavak;
- az érintett személyes adatok jellegét, érzékenységét, mennyiségét – pl. név és cím megismerhetősége nem feltétlenül minősül magas kockázatú incidensnek. Azonban az az ismeret, hogy egy rendszeresen szállított termék szállítását a megrendelő felfüggesztette nyaralás miatt, és az ehhez tartozó címet és ezt a tényt illetéktelen személy megismeri, egy betöréses bűncselekményhez vezethet. Hasonló módon személyi igazolvány, lakcímkártya, bankkártya adatai hozzáférhetősége külön-külön is nagy kockázatú incidensek, együttesen akár személyazonosság-lopást is megalapozhatnak. Több, egy személyhez tartozó adat megismerése mindig nagyobb kockázatot jelent, személyes adatok nagyobb volumenű megszerzése a legtöbb esetben magas kockázatot jelent.
- mennyire könnyen azonosítható be egy-egy személy az incidensben érintett személyes adatokból – pl. álnevesítés alkalmazásával csökkenthető az egyes felhasználók, személyek beazonosíthatósága („álnevesítés”: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni);
- az incidens következményeinek súlyossága – pl. magas kockázatú incidensnek kell tekinteni, ha személyazonosság-lopás vagy -csalás történhet, vagy fizikai sérülés, pszichológiai sérelem, megaláztatás, jó hírnév sérelme következhet be, ugyanakkor kisebb kockázatúnak lehet tekinteni az adatvédelmi incidenst amennyiben olyan címzetthez kerülnek adatok, akit „megbízhatónak” lehet tekinteni, tehát az erre irányuló kérés esetén azonnal visszaküldi, megsemmisíti a részére véletlenül küldött adatokat;
- az érintett személyek specialitása – pl. gyermekek, vagy bármely más csoport, amely valamely szempontból sebezhetőbb;
- az érintett személyek száma – pl. a nagy számok törvénye alapján a nagyobb számú érintett személy magasabb kockázatot jelent, de egy-egy érintett számára is lehet komoly következményekkel járó az incidens, valamint kisebb kockázatú egy nagyobb tömegű, de titkosított adat;
- az adatkezelő személye – a cégünk profilja meghatározza a kezelt személyes adatokat (pl. egészségügyi szolgáltatónál található egészségügyi személyes adatok kiszivárgása magasabb kockázattal jár).
Bejelentés az adatvédelmi hatóságnak:
A csoportnak meg kell vizsgálni, hogy a saját adatok, vagy az adatfeldolgozói minőségben kezelt adatokat érint az incidens:
Saját adatokat érint az incidens
Határidő: Az adatvédelmi incidenst, ha valószínűsíthetően kockázattal jár az érintettek jogaira nézve, indokolatlan késedelem nélkül be kell jelenteni az adatvédelmi hatóságnak. Bejelentés végső határideje: legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásunkra jutott kell a bejelentést megtenni.
Tudomásszerzés időpontja: Az adatvédelmi incidensről történő tudomásszerzés időpontja elválik az eseményről való tudomásszerzéstől. Amikor érkezik egy információ a biztonsági eseményről valamely munkatárstól vagy külső személytől, ügyféltől, partnertől, adott esetben interneten terjedő hírből, ezt az információt azonnal meg kell vizsgálni, és amennyiben észszerűen feltételezhető, hogy a biztonsági incidens személyes adatokat érint, tehát adatvédelmi incidens történt, akkortól számított 72 órán belül kell a bejelentést megtenni. Amennyiben az adatfeldolgozó jelzi, hogy a személyes adatokat érintő incidens következett be, az már a tudomásszerzés időpontjának számít. Amennyiben rögtön látható, hogy személyes adatokat érint az incidens, akkor is megtörténik a tudomásszerzés. Példák:
- személyes adatokat tartalmazó USB elvesztéséről való tudomásszerzés egyben az adatvédelmi incidensről való tudomásszerzés időpontja;
- tájékoztatást kap a Adatkezelő, amelyben közlik, hogy véletlenül rossz címre ment ki személyes adatokat tartalmazó email és csatolják az emailt is, ez esetben az értesítéstől számít a 72 óra;
- hackertámadó jelzi a betörést, amelyet megvizsgálva egyértelművé válik, hogy valóban történt behatolás a rendszerbe, ami személyes adatokat is érint, ez esetben a kivizsgálás eredményének megszületése a tudomásszerzés időpontja, azaz a vizsgálat ideje alatt még nem rendelkezik tudomással a vállalkozás – viszont, ha bizonyítékot is ad a hacker, akkor rögtön megtörténik a tudomásszerzés, a vizsgálat csak a körülmények feltárására miatt szükséges, és az óvintézkedések előkészítéséhez.
Illetékesség: A bejelentést a Nemzeti Adatvédelmi és Információszabadság Hivatala (NAIH) weboldalán elérhető formanyomtatványon szükséges megtenni (www.naih.hu).
A határon átnyúló adatvédelmi incidens esetén a fő felügyeleti hatóságnál kell a bejelentést megtenni (ahol társaságunk fő tevékenységi helye van, azaz szintén a NAIH-nál, ha mégis bizonytalanság lenne, akkor annál az adatvédelmi hatóságnál kell bejelentést tenni, amelynek a területén az adatvédelmi incidens történt).
Közös adatkezelés esetén: Ha az adatkezelők közötti megállapodás nem rendezi azt a kérdést, mely társaság köteles bejelentést tenni, akkor a Csoportnak szükséges erről döntést hozni.
NEM kell bejelentést tenni, ha bizonyítani tudjuk, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ezt a tényt dokumentálni szükséges a nyilvántartásba vételi jegyzőkönyv kitöltésével egyidejűleg. Példák:
- Már nyilvánosak azok az adatok, amelyek érintettek.
- Az ügyfél rossz címére küldött, személyes adatait tartalmazó levél felbontás nélkül visszaérkezik az adatkezelőhöz.
- Az adatkezelő munkavállalója a laptop-táskáját a vonaton hagyta, amely betű- és számkombinációs lakattal volt lezárva. A táska az adatkezelőhöz visszajuttatják úgy, hogy a táska és a zár érintetlen marad.
- Titkosított adatokat érint az incidens, de a kulcs sértetlen.
Amennyiben felmerülnek olyan körülmények, amelyek biztosítják, hogy ténylegesen nem történt adatvédelmi incidens, akkor felül kell vizsgálni a bejelentés szükségességét. (pl. adathordozót nem találták az irattárban, de később meglett és bizonyos, hogy nem került ki az irattárból.)
Késedelmes bejelentés: Amennyiben a 72 órás határidő nem teljesíthető, mellékelni kell a bejelentéshez a késedelem igazolására szolgáló indokokat is. Ezt az indoklást szintén rögzíteni szükséges a nyilvántartásbavételi jegyzőkönyvben. (A 72 órába beleszámítanak a szabad és munkaszüneti napok is!) Ha nincs meg minden információ, a bejelentés utólag is kiegészíthető, így csak erre hivatkozással nem lehet a 72 órán túlnyúlni. De okot adhat rá például, ha több egymást követő hasonló incidens történik, és a kivizsgálás elhúzódik, amely esetben nem egyenként kell bejelenteni az incidenseket, hanem egy bejelentés is tehető.
Bejelentés elmaradásának következménye: Amennyiben az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, és a bejelentés mégis elmarad, úgy a társaság akár bírsággal is sújtható. A bírság legmagasabb mértéke: 10.000.000 Euro vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeg (amelyik magasabb) lehet.
Bejelentés tartalma: A bejelentésben legalább ismertetni kell:
- az adatvédelmi incidens jellegét,
- lehetőség szerint az érintettek kategóriáit,
- az érintettek hozzávetőleges számát,
- az incidenssel érintett adatok kategóriáit;
- az incidenssel érintett adatok hozzávetőleges számát;
- az adatvédelmi tisztviselő vagy a kapcsolattartó nevét és elérhetőségeit;
- az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, esetleges hátrányos következmények enyhítését célzó intézkedéseket.
Amennyiben nem lehetséges az információkat egyidejűleg közölni az adatvédelmi hatósággal, azok később részletekben is közölhetők, azonban itt is ügyelni kell arra, hogy ne essen késedelembe az Adtakezelő.
A bejelentés nyomtatványa a https://naih.hu/adatvedelmi-incidensbejelent–rendszer.html címen érhető el.
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár az érintett jogaira és szabadságaira nézve, a lehető leghamarabb tájékoztatni szükséges az érintetteket az adatvédelmi incidensről. A hangsúly a magas kockázat megítélésén van, amelyhez a kockázatelemzés fenti szempontjait vesszük igénybe. Ha alacsony a kockázat vagy nincs, az értesítés nem kötelező.
A magas kockázat értékelésének szempontjai:
– az incidens típusa,
– a személyes adatok típusa (különleges adat-e),
– személyes adatok mennyisége,
– mennyire egyszerű az érintettek azonosítása,
– az incidensnek milyen súlyú következményei vannak az érintettre nézve,
– az érintettek speciális kategóriái (pl. munkavállaló, beteg),
– az érintettek száma,
– társaságunk, mint adatkezelő speciális kategóriába tartozása.
„Érzékeny adatok”: ezen személyes adatokat érintő incidensek vélhetően kockázatot jelentenek a természetes személyek jogaira, szabadságaira, ilyennek minősülnek az alábbiak:
– a különleges adatok (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok)
– az érintett pénzügyi helyzetére vonatkozó adatok (például tartozás)
– az érintett társadalmi megbecsülésére kiható adatok (például játékszenvedély, rossz iskolai eredmények)
– felhasználónevek és jelszavak
– a személyiséglopásra alkalmas adatok (például okmánymásolat).
A tájékoztatás tartalma: A tájékoztatásnak világosnak és közérthetőnek kell lennie, tartalmaznia kell legalább:
- az adatvédelmi incidens jellegét;
- az adatvédelmi tisztviselő vagy a kapcsolattartó nevét és elérhetőségeit;
- az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
- az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, esetleges hátrányos következmények enyhítését célzó intézkedéseket,
- javaslatot arra nézve, hogy maga az érintett mit tud tenni a kockázat csökkentése érdekében (pl. jelszava módosítása)
A tájékoztatás formáját tekintve lehet e-mail, sms, banner vagy felugró ablak, de írott sajtóban megjelent hirdetés is az incidens jellegétől és az érintetti kategóriáktól függően. Elsősorban a címzett megkeresés preferált, kivéve, ha aránytalan elvárás lenne a közvetlen megkeresés (pl. postai költségek miatt). Célszerű több módon is tájékoztatni az érintetteket, alternatívát biztosítani az értesülésre. Az újságban való hirdetés önmagában nem elegendő (csak a következő pontban tárgyalt kivételes esetben elfogadható). Szükség esetén több nyelven is elérhetőnek kell lennie a tájékoztatásnak (pl. külföldi személyek érintettsége esetén). Szükség esetén a NAIH-al együttműködve kell kialakítani a tájékoztatás tartalmát. Amennyiben maga a NAIH írja elő a tájékoztatást, az útmutatója szerint szükséges eljárni. Amennyiben egy esetleges büntetőeljárás sikerességét fenyegetné az érintettek idő előtti értesítése, erre is figyelemmel kell lenni az értesítés időpontja szempontjából – ez esetben figyelembe kell venni a bűnüldöző hatóság kérését, és érdemes konzultálni az adatvédelmi hatósággal.
Az értesítés tartalmában pontosan kell, hogy fogalmazzon, ugyanakkor nem lehet ijesztő, bizalomcsökkentő. Az adatvédelmi incidenssel kapcsolatos információkon kívül más tartalom nem jelenhet meg az értesítésben, különösen egyéb marketing tartalom. Nem lehet a szokásos hírlevél részeként megjeleníteni a figyelmeztetést. Az értesítés megszövegezésébe a PR igazgatót be szükséges vonni.
Az érintette(ke)t nem kell tájékoztatni, ha a következő feltételek bármelyike teljesül:
- megfelelő technikai és szervezési védelmi intézkedéseket sikerült társaságunknak végrehajtania még az incidens előtt (pl. titkosítás alkalmazása: tehát a titkosított adatokat megszerezték, de a titkosítás miatt feltételezhető, hogy az adatok védettek; tokenizálás alkalmazása);
- az adatvédelmi incidenst követően olyan intézkedéseket tettünk, amelyek biztosítják, hogy a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg, azaz a kockázatokat sikerült csökkenteni (pl. sikerült elkapni az adatot ellopót mielőtt felhasználhatta volna);
- a tájékoztatás aránytalan erőfeszítést tenne szükségessé, mely esetben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni (pl. honlapon, újsághirdetésben – az érintettek körétől függő fórumon), vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
Ha az érintettek értesítése még nem történt meg, az adatvédelmi incidensről, a felügyeleti hatóság (NAIH) elrendelheti az érintett tájékoztatását. A hatóság szankcionálhatja az értesítés elmaradását, ha annak indoka nem megfelelő.
Megrendelő adatait érinti az incidens:
A Megrendelő adatait érintő adatvédelmi incidens esetében a mérlegelés, döntés és bejelentés a Megrendelő kötelezettsége. Az Adatkezelő ebben az esetben biztosítja a megrendelő bejelentéséhez szükséges információk, valamint egyezteti és támogatja az incidens kezeléséhez szükséges intézkedések
Az adatvédelmi incidensekről nyilvántartást kell vezetni feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. A nyilvántartásért felelős személy: adatvédelmi megbízott
Valamennyi incidenst nyilvántartásba kell venni, amely tartalmazza:
- az incidens okát,
- hogy pontosan mi történt,
- az érintett személyes adatok körét,
- az adatvédelmi incidens következményeit, hatását,
- az elhárítás érdekében tett intézkedéseket,
- amennyiben nem volt magas a kockázat az érintettek jogaira nézve, ezért értesítésükre nem került sor, ennek indokait.
A „Jegyzőkönyv adatvédelmi incidens vizsgálatára” c. dokumentum a fenti kitételeket tartalmazza, kitöltésével és archiválásával tesz eleget az Adatkezelő a nyilvántartásba vétel kötelezettségének. Tekintettel arra, hogy a jegyzőkönyv maga és így a nyilvántartás nem tartalmaz személyes adatot, nincs törlési határideje, a bizonyíthatóság miatt pedig feltétlenül határidő nélkül őrizni javasolt.
1.sz. Melléklet
Incidensértékelés folyamata
2.sz. Melléklet
JegyzŐkönyv
A JAMINAGRO Kft.-NÉL TÖRTÉNT
adatvédelmi incidens kivizsgálására
- Jegyzőkönyv felvételének időpontja: 20** év ** hó ** nap ** óra ** perc
- Részvevők neve és beosztása:
Név | Beosztás |
- AZ ADATVÉDELMI INCIDENSRE VONATKOZÓ LEGFONTOSABB INFORMÁCIÓK
Az adatvédelmi incidensről történő tudomásszerzést követő első 72 órán belül kell kitölteni és az adatvédelmi hatóság részére a hatóság által előírt formanyomtatványon jelenteni.
- A biztonsági esemény, amely az adatvédelmi incidenst okozta bekövetkeztének / észlelésének időpontja: 20** év ** hó ** nap ** óra ** perc
Észlelés módja: ***
- Az adatvédelmi incidensről történő tudomásszerzés időpontja:
20** év ** hó ** nap ** óra ** perc
- Az adatvédelmi incidens bejelentésének időpontja:
20** év ** hó ** nap ** óra ** perc
Esetleges késedelem indokai: ***
- A felhasznált / érintett / ellopott adat típusa
☐személyes adat
☐különleges (pl. egészségügyi/genetikai adat stb.) ☐nem különleges
☐nem személyes adat
Incidenssel érintett adatkör felsorolása vagy azok jellege: *** (jelleg pl. elérhetőségi adatok, hivatalos okmányok, pénzügyi adatok, helymeghatározó adatok, személyazonosító adatok, politikai véleményre vonatkozó adatok, faji hovatartozásra vonatkozó adatok)
- Személyes adat esetén a személyes adat titkosításának állapota:
☐Teljes ☐Részleges ☐Nincs
- Az adatvédelmi incidens oka:
☐ rosszindulatú támadás
☐ belső ☐ külső
☐ véletlen (rendszerhiba)
☐ gondatlanság (emberi mulasztás)
☐ egyéb: ***
- Az incidens előtt alkalmazott intézkedések: ***
- Az adatbiztonság sérülésének jellege:
☐személyes adatok bizalmas jellegének sérülése
☐személyes adatok integritásának sérülése
☐személyes adatok rendelkezésre állásának sérülése
- . Az adatvédelmi incidens valószínű hatása:
☐adat közzététele
☐adatlopás
☐személyazonosság-lopás, személyazonossággal való visszaélés
☐adatvesztés
☐személyes adatok bizalmas jellegének sérülése
☐anyagi kár
☐nem vagyoni kár
☐közvetlen pénzügyi veszteség
☐vállalkozás működési zavarai
☐felelősséggel kapcsolatos kérdések
☐jó hírnév sérelme
☐egyéb: **
- Érintettek
- Érintettség
Érintettek köre/típusa: *** pl.: alkalmazottak, ügyfelek, kiskorúak, feliratkozók, kiszolgáltatott személyek
Érintettek száma (minimum – maximum, ha nem ismert a pontos szám): ***
Érintett adatok hozzávetőleges száma: (érintettek száma szorozva adatkörrel): ***
- Az érintetteket tájékoztatták az adatvédelmi incidensről?
☐Igen ☐Nem
Indoklás: ***
- Mennyi érintettet tájékoztattak? ***
- Milyen módon tájékoztatták?
☐SMS
☐egyéb elektronikus üzenet
☐honlapon keresztül (felugró ablak, banner stb.)
☐médiában megjelent hirdetésben
☐egyéb:
- Intézkedések
- Milyen intézkedések történtek az adatvédelmi incidens negatív hatásainak az enyhítésére?
☐adat-visszaállítás
☐negatív szoftver törlése
☐rendszerfrissítés
☐megrongált vagyontárgy cseréje
☐külső vizsgálat (pl. penteszt stb.)
☐adatbiztonsági intézkedések megerősítése
☐egyéb
Indoklás: ***
- Becsült pénzügyi veszteség
☐Érintettek értesítésének költsége
☐Vagyoni kár (ha van)
- Mit tettek azért, illetve mit terveznek tenni azért, hogy csökkentsék annak a lehetőségét, hogy ez újra megtörténjen?
☐adatbiztonsági intézkedések megerősítése, és különösen:
☐Adatgyűjtési eljárás felülvizsgálata és újratervezése
☐Adatkezelési eljárás felülvizsgálata és újratervezése
☐Az adatfeldolgozó személyének, tevékenységének felülvizsgálata és újraértékelése (adott esetben)
☐A maradék adatok titkosítása
☐nem történt adatbiztonsági intézkedés
☐egyéb
- Az incidens technikai részletei
- Az adattárolás helye
☐Belső szerver ☐Felhő ☐Hordozó eszköz: *** ☐Zárt szekrény ☐Egyéb: ***
- Ha az adatvédelmi incidens rosszindulatú támadás eredménye, mi okozta azt
☐Ismeretlen biztonsági rés
☐Ismert biztonsági rés:
☐Cryptolocker
☐Állapotátmenet-leképezés (Fire reconnaissance)
☐Adathalászat
☐Elosztott szolgáltatás megtagadása
☐Rosszindulatú szoftver
☐Pszichológiai manipuláció (Social engineering)
☐Zsarolás
☐Egyéb: ***
- Rosszindulatú támadás esetén mi volt az adatvédelmi incidens indítéka, ha ismert?
***
- Rosszindulatú támadás esetén milyen exploit szoftvert alkalmaztak, ha ismert?
☐ Közbeékelődéses támadás (Man-in-the-middle attack)
☐ Rosszindulatú szoftver (Malware)
☐ Zsarolóprogram
☐ SQL befecskendezéses támadás (SQL Injection Attack)
☐ Cross-site scripting (XSS)
☐ Szolgáltatásmegtagadás (Denial of Service, DoS)
☐ Munkamenet „eltérítés” (Session hijacking)
☐ Hitelesítési adatok ismételt felhasználása
☐ Egyéb: ***
- Kapcsolattartó személy (adatvédelmi hatóság/érintettek felé)
Név: *
Beosztás: *
Cím: *
Irányítószám: *
Város: *
Ország: *
E-mail cím: *
Telefonszám: *
- Utánkövetés (hatósági bejelentést követő új körülmények): ***
………………………………………. jegyzőkönyv vezetője |
3.sz. Melléklet
ADATVÉDELMI INCIDENSEK NYILVÁNTARTÁSA JAMINAGRO Kft. | |||||||
202…. | |||||||
SORSZÁM: | AZ INCIDENS IDŐPONTJA: | AZ INCIDENS MEGNEVEZÉSE, TÉNYEI: | AZ ÉRINTETTEK KÖRE: | AZ ÉRINTETT SZEMÉLYES ADATOK: | AZ INCIDENS HATÁSA: | AZ INCIDENS ORVOSLÁSÁRA TETT INTÉZKEDÉSEK: | EGYÉB ADATOK: |
1. | |||||||
2. | |||||||
3. | |||||||
4. | |||||||
5. | |||||||
6. | |||||||
7. | |||||||
8. | |||||||
9. | |||||||
10. |
4. sz. melléklet
Adatvédelmi incidens elemzés | |||
DPC | JAMINAGRO Kft. …………….dátum adatvédelmi incidensének elemzése | ||
Adatfeldolgozási környezet (DPC) | Pontszám | ||
Egyszerű adatok | Pl. életrajzi adatok, elérhetőségek, teljes név, az oktatásra, a családi életre, a szakmai tapasztalatra stb. | ||
Előzetes alappontszám: ha a jogsértés „egyszerű adatokat” érint, és az adatkezelőnek nincs tudomása súlyosbító tényezőkről. | 1 | ||
A DPC pontszám 1-el növelhető, például ha az „egyszerű adatok” mennyisége és/vagy az adatkezelő jellemzői olyanok, hogy az egyén bizonyos profilalkotása engedélyezhető, vagy az egyén társadalmi/pénzügyi helyzetére vonatkozó feltételezéseket lehet tenni. | 2 | ||
A DPC pontszám lehet 2, például, ha az „egyszerű adatok” és / vagy jellemzői az adatkezelő vezethet feltételezéseket az egyén egészségi állapotát, szexuális preferenciák, politikai vagy vallási meggyőződés. | 3 | ||
A DPC pontszám 3-mal növelhető, például, ha az egyén bizonyos jellemzői (pl. veszélyeztetett csoportok, kiskorúak) miatt az információ kritikus lehet személyes biztonságuk vagy fizikai/pszichológiai körülményeik szempontjából. | 4 | ||
Pontszám | |||
Viselkedési adatok | Pl. forgalmi adatok, a személyes preferenciákra és szokásokra vonatkozó adatok stb. | ||
Előzetes alappontszám: ha a jogsértés „viselkedési adatokat” tartalmaz, és az adatkezelőnek nincs tudomása súlyosbító vagy enyhítő tényezőkről. | 2 | ||
A DPC pontszám 1-el csökkenthető, például ha az adatkészlet jellege nem nyújt érdemi betekintést az egyén viselkedési információiba, vagy az adatok könnyen (a jogsértéstől függetlenül) könnyen gyűjthetők a nyilvánosan hozzáférhető forrásokon keresztül (például az internetes keresésekből származó információk kombinációja). | 1 | ||
A DPC pontszám 1-el növelhető, pl. ha a „viselkedési adatok” mennyisége és/vagy az adatkezelő jellemzői olyanok, hogy létre lehet hozni az egyén profilját, és részletes információkat szolgáltatnak mindennapi életéről és szokásairól. | 3 | ||
A DPC pontszám 2-vel növelhető, például, ha az egyén érzékeny adatai alapján létrehozott profil hozható létre. | 4 | ||
Pontszám | |||
Pénzügyi adatok | Bármilyen típusú pénzügyi adat (pl. jövedelem, pénzügyi tranzakciók, bankszámlakivonatok, befektetések, hitelkártyák, számlák stb.). Ide tartoznak a pénzügyi információkkal kapcsolatos szociális jóléti adatok. | ||
Előzetes alappontszám: ha a jogsértés „pénzügyi adatokat” érint, és az adatkezelőnek nincs tudomása súlyosbító vagy enyhítő tényezőkről. | 3 | ||
A DPC pontszám 2-vel csökkenthető, például, ha az adatkészlet jellege nem nyújt érdemi betekintést az egyén pénzügyi információiba (pl. az a tény, hogy egy személy egy bizonyos bank ügyfele további részletek nélkül). | 1 | ||
A DPC pontszám 1-tel csökkenthető, például, ha az adott adatkészlet tartalmaz néhány pénzügyi információt, de még mindig nem nyújt jelentős betekintést az egyén pénzügyi helyzetébe/helyzetébe (pl. egyszerű bankszámlaszámok további részletek nélkül). | 2 | ||
A DPC pontszám 1-el növelhető, például az adott adatkészlet jellege és/vagy mennyisége miatt teljes pénzügyi (pl. hitelkártya) információt tesznek közzé, amely lehetővé teszi a csalást, vagy részletes társadalmi/pénzügyi profilt hoz létre. | 4 | ||
Pontszám | |||
Érzékeny adatok | Bármilyen típusú érzékeny adat (pl. egészség, politikai hovatartozás, szexuális élet) | ||
Előzetes alappontszám: ha a jogsértés „érzékeny adatokat” érint, és az adatkezelőnek nincs tudomása semmilyen kisebb tényezőről. | 4 | ||
A DPC pontszám 1-el csökkenthető, például ha az adatkészlet jellege nem nyújt érdemi betekintést az egyén viselkedési információiba, vagy az adatok könnyen (a jogsértéstől függetlenül) könnyen gyűjthetők a nyilvánosan hozzáférhető forrásokon keresztül (például az internetes keresésekből származó információk kombinációja). | 1 | ||
A DPC pontszám 2-vel csökkenthető, például amikor az adatok jellege általános feltételezésekhez vezethet. | 2 | ||
A DPC pontszám 1-gyel csökkenthető, például ha az adatok jellege érzékeny információkkal kapcsolatos feltételezésekhez vezethet. | 3 | ||
EI | |||
Érintett azonosíthatósága (EI) | Pontszám | ||
(Elhanyagolható) az ország egész lakosságában, ahol sokan ugyanazt a teljes nevet | 0,25 | ||
(Korlátozott) az ország lakosságában, ahol kevesen osztoznak ugyanazzal teljes névvel. | 0,5 | ||
(Jelentős) egy kis város lakosságában, ahol kevés vagy egyáltalán nem osztozik ugyanazzal teljes név. | 0,75 | ||
(Maximum) az ország lakosságában, a születési dátum és az e-mail cím használatával is. | 1 | ||
CB | |||
Incidens körölményei (CB) | Pontszám | ||
Bizalmasság elvesztése | |||
Példák a titoktartási kockázatoknak kitett adatokra , amelyek nem bizonyítják , hogy jogellenes feldolgozásra került sor. – A papír dokumentum, vagy a laptop elvesztése szállítás közben. – A berendezéseket a személyes adatok megsemmisítése nélkül ártalmatlanították | 0 | ||
Példák olyan adatokra, amelyeket számos ismert címzettnek értékesítettek: – A személyes adatokat is megóvást kapott e-mailt számos ismert címzettnek. – Egyes ügyfelek hozzáférhetnek más ügyfelek fiókjaihoz egy online szolgáltatásban. | 0,25 | ||
Példák ismeretlen számú címzettnek elidegenített adatokra: – Az adatokat egy internetes üzenőfalon teszik közzé. – Az adatok feltöltése egy P2P webhelyre. – Az alkalmazott ügyféladatokkal rendelkező CD-ROM-ot ad el. – A rosszul konfigurált weboldal nyilvánosan hozzáférhetővé teszi a belső felhasználók internetes adataiban. | 0,5 | ||
Integritás elvesztése | |||
Példák a megváltozott adatokra, de nem azonosított helytelen vagy illegális felhasználás: | 0 | ||
ü A személyes adatokat tartalmazó adatbázis adatait tévesen frissítették, de az eredetipéldányt a módosított adatok bármilyen felhasználása előtt megszerezték. | |||
Példák a módosított és esetleg helytelen vagy illegális módon használt, de a helyreállítás lehetőségével: | 0,25 | ||
ü Az online szociális szolgáltatás nyújtásához szükséges rekordot megváltoztatták, és az egyénnek offline módon kell kérnie a szolgáltatást. | |||
ü Egy olyan rekord, amely fontos az egyén fájljának pontossága szempontjából egy online egészségügyi szolgáltatásban, megváltozott. | |||
Példák a helytelen vagy illegális módon módosított és esetleg helytelen ültetett adatokra, a helyreállítás lehetősége nélkül: | 0,5 | ||
ü Az előző példák + az eredeti nem állítható vissza. | |||
Rendelkezésre állás elvesztése | |||
Példák a titoktartási kockázatoknak kitett adatokra , amelyek nem bizonyítják , hogy jogellenes feldolgozásra került sor.- A papírfájl vagy a laptop elvesztése szállítás közben. – A berendezéseket a személyes adatok megsemmisítése nélkül ártalmatlanították | 0 | ||
Példák olyan adatokra, amelyeket számos ismert címzettnek értékesítettek: – A személyes adatokat is megóvást kapott e-mailt számos ismert címzettnek. – Egyes ügyfelek hozzáférhetnek más ügyfelek fiókjaihoz egy online szolgáltatásban. | 0,25 | ||
Példák ismeretlen számú címzettnek elidegenített adatokra: – Az adatokat egy internetes üzenőfalon teszik közzé. – Az adatok feltöltése egy P2P webhelyre. – Az alkalmazott ügyféladatokkal rendelkező CD-ROM-ot ad el. – A rosszul konfigurált weboldal nyilvánosan hozzáférhetővé teszi a belső felhasználók internetes adataiban. | 0,5 | ||
Alappontszám (SE) | DPC*EI+CB | ||
Egyéb körülmények | |||
100 főt meghaladó incidens + | 0,75 | ||
Az Adatok titkosítottak voltak – | 2 | ||
ÖSSZPONTSZÁM: | |||
Az incidens súlyossági szintje | |||
SEGÉDLET | |||
Az incidens súlosságának meghatározása | ALAPPONTSZÁM | ||
ALACSONY | SE<2 | ||
KÖZEPES | 2<=SE<3 | ||
MAGAS | 3<=SE<4 | ||
NAGYON MAGAS | 4<=SE |