A munkacsoport véleménye az adatsértési értesítésről (WP 213)

A 29. cikk szerinti adatvédelmi munkacsoport 2014. március 25-én az adatsértési értesítésről fogadott el véleményt.

Az elfogadott vélemény az ePrivacy Irányelv (2002/58/EK) 2009-es módosításához kötődik (2009/136/EK), ami az elektronikus hírközlési szektorban az Európai Unió szintjén harmonizált szabályokat vezetett be az adatsértési értesítésről (data breach notification), melyet a tagállami jogokba 2011. május 25. napjáig kellett átültetni (és amely határidőt több tagállam csak jelentős késéssel teljesített). E szabályok értelmében az elektronikus hírközlési szolgáltatók az Európai Unióban kötelesek bejelenteni a személyes adatok megsértését az arra kijelölt nemzeti hatóság (itthon az NMHH) részére, továbbá az érintettnek is, amennyiben az adatsértés várhatóan hátrányosan érinti a magánszemély személyes adatait vagy magánéletét. A munkacsoport 1/2011. szám alatt, 2011. április 5. napján korábban már munkadokumentumot fogadott el, ami az adatsértési értesítés európai keretrendszeréről szólt, illetőleg ezzel kapcsolatos jövőbeli ajánlásokat fogalmazott meg. A most elfogadott vélemény ezt a dokumentumot egészíti ki gyakorlati útmutatással.

Az irányelvi szabályok értelmében az érintett (előfizető vagy adatalany) részére csak abban az esetben szükséges indokolatlan késedelem nélkül értesítést nyújtani a személyes adatok megsértéséről, ha az várhatóan hátrányosan érinti a magánszemély személyes adatait vagy magánszféráját. A 3/2014. szám alatt kibocsátott vélemény annak elbírálására szolgál iránymutatásul, hogy milyen súlyosságú adatsértés teszi szükségessé az értesítés nyújtását, illetőleg milyen körülmények esetén lehet az értesítéstől eltekinteni.

Az ePrivacy Irányelv és az EU Bizottság 11/2013/EU rendelete arra az esetre állapít meg kivételt az értesítési kötelezettség alól, amennyiben bevezetett technológiai védelmi intézkedésekre tekintettel az adatok értelmezhetetlennek tekintendőek. Ez azon eseteket foglalja magába, mikor az adatok biztonságos titkosítása megtörtént. Ezzel összefüggésben rögzíti a munkacsoport, hogy a titkosítás ellenére is szükséges értesítést nyújtani abban az esetben, ha az elveszett adatokkal kapcsolatosan nem történt adatmentés, mivel ez szintén negatív implikációkkal járhat az egyén magánéletére nézve.

A munkacsoport hangsúlyozza, hogy az adatokkal kapcsolatos technikai biztonsági intézkedések megfelelő, proaktív magatartást és tervezést tesz szükségessé az adatkezelő részéről, amely intézkedéseknek arányosnak kell lennie a potenciális kockázatokkal, ami egy kockázatkezelési keretrendszer implementálását feltételezi. Ezen intézkedések az adatsértési eseteket hatékonyan csökkentik, illetőleg az adatalanyok személyes adatok megsértésének való kitettségét mérséklik, amely adott esetben elkerülhetővé teszi az adatalanyok értesítését. Az értesítés célja, hogy ez az adatalanyok adatsértésnek való kitettségét csökkentse. A munkacsoport szerint amennyiben kétség merül fel az értesítés szükségességét illetően, úgy az óvatosság elve alapján meg kell tenni az értesítést.

A munkacsoport véleménye útmutatásul szolgál és példákat nyújt azon esetekről, melyek az értesítést szükségessé teszik és e tényállásokat nem korlátozza az elektronikus hírközlési szektorra, tekintettel arra, hogy az adatvédelmi rendelet tervezete a személyes adatok megsértéséről való értesítést a jövőben valamennyi (azaz nem csupán az elektronikus hírközlési) szektorra kiterjedően, általánossá kívánja tenni.

A vélemény hét hipotetikus eset útján áttekintést nyújt az érintett értesítését szükségessé tevő tényállásokról, így mikor a személyes adatok megsértése az adatok bizalmasságát, rendelkezésre állását, illetőleg integritását érinti, egyben számba veszi, hogy ezek milyen potenciális negatív magánéleti következményekkel járhatnak az érintettekre nézve; milyen intézkedésekkel lehetett volna csökkenteni ezen hatásokat (pl. PET, titkosítás); milyen körülményeket szükséges figyelembe venni az értesítés nyújtásával kapcsolatosan és milyen intézkedéseket szükséges javasolni az értesítésben (pl. jelszóváltoztatás). Végül a vélemény káté (Q&A) formájában nyújt útmutatást.

A vélemény szövege ezen a linken érhető el.