{"id":1544,"date":"2016-09-18T20:48:22","date_gmt":"2016-09-18T18:48:22","guid":{"rendered":"http:\/\/www.dataprivacy.hu\/?p=1544"},"modified":"2016-09-19T11:33:03","modified_gmt":"2016-09-19T09:33:03","slug":"az-adatvedelmi-incidensek-mit-kell-tenni-a-megfeleles-erdekeben","status":"publish","type":"post","link":"https:\/\/www.dataprivacy.hu\/?p=1544","title":{"rendered":"Az adatv\u00e9delmi incidensek – mit kell tenni a megfelel\u00e9s \u00e9rdek\u00e9ben?"},"content":{"rendered":"

Az Eur\u00f3pai Uni\u00f3 \u00c1ltal\u00e1nos Adatv\u00e9delmi Rendelet\u00e9nek<\/a> (GDPR) egyik, minden adatkezel\u0151t \u00e9rint\u0151 \u00faj\u00edt\u00e1sa az adatv\u00e9delmi incidensek bejelent\u00e9si k\u00f6telezetts\u00e9ge.
\n
\nHasonl\u00f3 k\u00f6telezetts\u00e9g terheli m\u00e1r az Elektronikus H\u00edrk\u00f6zl\u00e9sr\u00f3l sz\u00f3l\u00f3 2003. \u00e9vi C. t\u00f6rv\u00e9ny hat\u00e1lya al\u00e1 es\u0151 elektronikus h\u00edrk\u00f6zl\u00e9si szolg\u00e1ltat\u00f3kat. Az \u00fajdons\u00e1g teh\u00e1t, hogy a GDPR alkalmazhat\u00f3v\u00e1 v\u00e1l\u00e1s\u00e1val, 2018. m\u00e1jus 25-t\u0151l minden szem\u00e9lyes adatot kezel\u0151 szervezetnek, azaz gyakorlatilag minden szervezetet, m\u0171k\u00f6d\u00e9si form\u00e1t\u00f3l f\u00fcggetlen\u00fcl biztos\u00edtania kell azt, hogy az esetleges adatv\u00e9delmi incidenseket a megfelel\u0151 form\u00e1ban \u00e9s tartalommal kommunik\u00e1lja.<\/p>\n

A mai globaliz\u00e1lt vil\u00e1gban az adat, illetve az adatoknak tulajdon\u00edtott \u00e9rt\u00e9k kimagasl\u00f3 \u00e9s meghat\u00e1rozza az emberek \u00e9let\u00e9t. Emiatt az egyes adatv\u00e9delmi incidensek nagys\u00e1ga \u00e9s hat\u00e1suk sem elhanyagolhat\u00f3<\/a>. Az \u00e9rintett adatok k\u00f6re igen v\u00e1ltozatos, \u00e9s p\u00e9ld\u00e1ul a mostani trendek szerint az eg\u00e9szs\u00e9g\u00fcgyi adatok feketepiaci \u00e9rt\u00e9ke<\/a> a p\u00e9nz\u00fcgyi adatok (p\u00e9ld\u00e1ul bankk\u00e1rtya adatok) \u00e9rt\u00e9ke f\u00f6l\u00e9 emelkedett. Ezt t\u00e1masztja al\u00e1 p\u00e9ld\u00e1ul egy friss gy\u00e1rt\u00f3i jelent\u00e9s<\/a>, amely szerint az adatv\u00e9delmi incidensekkel legink\u00e1bb \u00e9rintett szektor az eg\u00e9szs\u00e9g\u00fcgyi szektor volt.<\/p>\n

A GDPR-hoz f\u0171z\u00f6tt indokol\u00e1s szerint “az adatv\u00e9delmi incidens megfelel\u0151 \u00e9s kell\u0151 idej\u0171 int\u00e9zked\u00e9s hi\u00e1ny\u00e1ban fizikai, vagyoni vagy nem vagyoni k\u00e1rokat okozhat a term\u00e9szetes szem\u00e9lyeknek. […]” Erre figyelemmel a jogszab\u00e1ly minden adatkezel\u0151 sz\u00e1m\u00e1ra el\u0151\u00edrja, hogy az adatv\u00e9delmi incidenseket f\u0151szab\u00e1ly szerint “indokolatlan k\u00e9sedelem n\u00e9lk\u00fcl, \u00e9s ha lehets\u00e9ges, legk\u00e9s\u0151bb 72 \u00f3r\u00e1val azut\u00e1n, hogy az adatv\u00e9delmi incidens a tudom\u00e1s\u00e1ra jutott, bejelenteni k\u00f6teles az illet\u00e9kes fel\u00fcgyeleti hat\u00f3s\u00e1gn\u00e1l, kiv\u00e9ve, ha az adatkezel\u0151 bizony\u00edtani tudja, hogy az adatv\u00e9delmi incidens val\u00f3sz\u00edn\u0171s\u00edthet\u0151en nem j\u00e1r kock\u00e1zattal a term\u00e9szetes szem\u00e9lyek jogaira \u00e9s szabads\u00e1gaira n\u00e9zve. Ha a bejelent\u00e9s 72 \u00f3r\u00e1n bel\u00fcl nem tehet\u0151 meg, abban meg kell jel\u00f6lni a k\u00e9sedelem ok\u00e1t, az el\u0151\u00edrt inform\u00e1ci\u00f3kat pedig \u2013 tov\u00e1bbi indokolatlan k\u00e9sedelem n\u00e9lk\u00fcl \u2013 r\u00e9szletekben is k\u00f6z\u00f6lni lehet.”<\/p>\n

Ezen t\u00falmen\u0151en az \u00e9rintetteket is k\u00e9sedelem n\u00e9lk\u00fcl t\u00e1j\u00e9koztatni kell az incidens k\u00f6vetkezm\u00e9nyeir\u0151l, illetve a hat\u00e1sok enyh\u00edt\u00e9s\u00e9t c\u00e9lz\u00f3 javaslatokr\u00f3l is (p\u00e9ld\u00e1ul a jelszavak lecser\u00e9l\u00e9se).<\/p>\n

Mit kell tenni annak \u00e9rdek\u00e9ben, hogy megfelelj\u00fcnk a GDPR el\u0151\u00edr\u00e1sainak?<\/strong>
\nAzon szervezetek, amelyekn\u00e9l m\u00e1r kialak\u00edtottak valamilyen incidenskezel\u00e9si elj\u00e1r\u00e1st c\u00e9lszer\u0171 elt\u00e9r\u00e9s elemz\u00e9s keret\u00e9ben vizsg\u00e1lni a GDPR el\u0151\u00edr\u00e1saihoz viszony\u00edtott megfelel\u0151s\u00e9get. Ahol azonban nincs ilyen, ott javasolt kialak\u00edtani az egyes esem\u00e9nyek \u00e9s incidensek \u00f6sszegy\u0171jt\u00e9s\u00e9t, figyel\u00e9s\u00e9t \u00e9s elemz\u00e9s\u00e9t szolg\u00e1l\u00f3 informatikai \u00e9s szervezeti folyamatot. Ebben seg\u00edts\u00e9gre lehet a nemzetk\u00f6zi ISO 27001-es szabv\u00e1nycsal\u00e1d<\/a>, vagy az Amerikai Egyes\u00fclt \u00c1llamok Szabv\u00e1ny\u00fcgyi Int\u00e9zete (NIST) incidenskezel\u00e9sr\u0151l sz\u00f3l\u00f3 publik\u00e1ci\u00f3ja<\/a>.<\/p>\n

Seg\u00edtheti a GDPR-nak val\u00f3 megfelel\u00e9st, ha a szervezet p\u00e9ld\u00e1ul az ISO 27001 szabv\u00e1ny szerinti biztons\u00e1gi ir\u00e1ny\u00edt\u00e1si rendszert vezet be \u00e9s m\u0171k\u00f6dtet, ez\u00e9rt a lentebb r\u00e9szletezett p\u00e9ldafolyamatunkat a hivatkozott ISO szabv\u00e1nyra, illetve az inform\u00e1ci\u00f3 biztons\u00e1gi ter\u00fcleten \u00e9rv\u00e9nyes gyakorlatra figyelemmel \u00e9p\u00edtj\u00fck fel. Az incidenskezel\u00e9si szab\u00e1lyoz\u00e1si c\u00e9lokat a szabv\u00e1ny “A” mell\u00e9klet\u00e9nek 16. pontja r\u00e9szletezi. Az egyes kontrollok \u00e9rtelmez\u00e9s\u00e9ben az ISO 27002 : 2013 szabv\u00e1ny lehet seg\u00edts\u00e9g\u00fcnkre.<\/p>\n

1.<\/strong> A szabv\u00e1ny szerint a szervezeten bel\u00fcl ki kell alak\u00edtani a megfelel\u0151 felel\u0151ss\u00e9gi k\u00f6r\u00f6ket \u00e9s strukt\u00far\u00e1kat, \u00edgy “vezet\u0151i felel\u0151ss\u00e9geket \u00e9s elj\u00e1r\u00e1sokat kell kialak\u00edtani, hogy biztos\u00edthat\u00f3 legyen a gyors, hat\u00e1sos \u00e9s rendezett v\u00e1laszad\u00e1s”. Ez a gyakorlatban az incidenskezel\u00e9si funkci\u00f3 meghat\u00e1rozott szervezeti egys\u00e9ghez rendel\u00e9s\u00e9t jelenti.<\/p>\n

2.<\/strong> Ezt k\u00f6vet\u0151en int\u00e9zkedni kell annak \u00e9rdek\u00e9ben, hogy a szervezeten bel\u00fcl, a megfelel\u0151en kommunik\u00e1lt csatorn\u00e1kon kereszt\u00fcl a munkav\u00e1llal\u00f3k, \u00fcgyfelek, alv\u00e1llalkoz\u00f3k – teh\u00e1t k\u00fcls\u0151 \u00e9s bels\u0151 \u00e9rintettek egyar\u00e1nt – jelenteni tudj\u00e1k az egyes esem\u00e9nyeket, illetve kontroll gyenges\u00e9geket. Ilyen csatorna lehet egy k\u00f6zponti e-mail c\u00edm vagy telefonsz\u00e1m l\u00e9trehoz\u00e1sa, amelyen kereszt\u00fcl az \u00e9rtes\u00edt\u00e9sek az el\u0151z\u0151 pontban l\u00e9trehozott szervezeti egys\u00e9ghez \u00e9rkeznek. Bizonyos esetekben ez k\u00e9szenl\u00e9ti jelleg\u0171 munkak\u00f6r\u00f6k kialak\u00edt\u00e1s\u00e1t is megk\u00edv\u00e1nja, hogy a munkaid\u0151n k\u00edv\u00fcl bejelentett vagy felfedezett incidensek kezel\u00e9se is a megfelel\u0151 m\u00f3don megt\u00f6rt\u00e9njen.<\/p>\n

Technikai oldalr\u00f3l tov\u00e1bb\u00e1 ez jellemz\u0151en a szem\u00e9lyes adatokat feldolgoz\u00f3, t\u00e1rol\u00f3 \u00e9s tov\u00e1bb\u00edt\u00f3 informatikai rendszerekekkel kapcsolatban a napl\u00f3zand\u00f3 esem\u00e9nyek k\u00f6r\u00e9nek meghat\u00e1roz\u00e1s\u00e1tl, p\u00e9ld\u00e1ul hozz\u00e1f\u00e9r\u00e9si k\u00eds\u00e9rletek, hozz\u00e1f\u00e9r\u00e9sek, m\u00f3dos\u00edt\u00e1sok napl\u00f3z\u00e1s\u00e1t, illetve ezen napl\u00f3k rendszeres elemz\u00e9s\u00e9t jelentik (ak\u00e1r manu\u00e1lisan, de legink\u00e1bb automatiz\u00e1ltan, c\u00e9lszoftverekkel t\u00e1mogatva). Napl\u00f3elemz\u00e9s mellett term\u00e9szetesen c\u00e9lszer\u0171 gondoskodni az informatikai h\u00e1l\u00f3zatot v\u00e9d\u0151 \u00e9s figyel\u0151 eszk\u00f6z\u00f6kr\u0151l is (p\u00e9ld\u00e1ul Intrusion Detection System (IDS)\/Intrusion Prevention System (IPS)-ek telep\u00edt\u00e9se a h\u00e1l\u00f3zaton, Web Application Firewall-ok \u00fczemeltet\u00e9se a kritikus webalkalmaz\u00e1sokat kiszolg\u00e1l\u00f3 szerverek mellett, stb.), illetve a k\u00fcls\u0151 s\u00e9r\u00fcl\u00e9kenys\u00e9gek folyamatos azonos\u00edt\u00e1s\u00e1r\u00f3l, nyomonk\u00f6vet\u00e9s\u00e9r\u0151l \u00e9s dokument\u00e1lt m\u00f3don t\u00f6rt\u00e9n\u0151 jav\u00edt\u00e1s\u00e1r\u00f3l.<\/p>\n

K\u00fcl\u00f6n \u00e9rdemes kiemelni a szervezet k\u00fcls\u0151 kapcsolatainak figyel\u00e9s\u00e9t, az adatfeldolgoz\u00f3kat \u00e9s a kiszervezett tev\u00e9kenys\u00e9geket ell\u00e1t\u00f3kat \u00e9rint\u0151 esem\u00e9nyek \u00e9s incidensek monitoroz\u00e1s\u00e1t, mivel ezek\u00e9rt is az adatkezel\u0151 tartozik felel\u0151ss\u00e9ggel. A k\u00fcls\u0151 szolg\u00e1ltat\u00f3kkal kapcsolatos fenyegetetts\u00e9gek \u00e9s kitetts\u00e9gek a jelenlegi trendek szerint tov\u00e1bbra is emelkedni fog, \u00edgy incidensek bek\u00f6vetkez\u00e9se, adatsziv\u00e1rg\u00e1sok is v\u00e1rhat\u00f3k.<\/p>\n

3.<\/strong> Az incidensek t\u00e9nyleges kezel\u00e9s\u00e9re akkor ker\u00fcl sor, ha a szervezet felfedezi, hogy a monitorozott \u00e9s gy\u0171jt\u00f6tt esem\u00e9nyek k\u00f6z\u00f6tt olyan nem v\u00e1rt, vagy nem k\u00edv\u00e1nt esem\u00e9ny van, amelyek nagy val\u00f3sz\u00edn\u0171s\u00e9ggel vesz\u00e9lyeztetik a szem\u00e9lyes adatok feldolgoz\u00e1s\u00e1t, t\u00e1rol\u00e1s\u00e1t vagy tov\u00e1bb\u00edt\u00e1s\u00e1t. Ilyen eset lehet p\u00e9ld\u00e1ul, ha egy munkav\u00e1llal\u00f3 jogosulatlanul lem\u00e1solta a szervezet term\u00e9szetes szem\u00e9ly \u00fcgyfeleit tartalmaz\u00f3 Excel file-t \u00e9s azt elk\u00fcldte a versenyt\u00e1rsn\u00e1l dolgoz\u00f3 ismer\u0151s\u00e9nek. Ezen t\u00falmen\u0151en az incidensek kezel\u00e9s\u00e9re c\u00e9lszer\u0171 szint\u00e9n valamilyen szoftvert haszn\u00e1lni, p\u00e9ld\u00e1ul egy jegykezel\u0151 rendszert (“issue tracking system”).<\/p>\n

a)<\/strong> Ilyen esetben az els\u0151 l\u00e9p\u00e9s maga az incidens valid\u00e1l\u00e1sa, azaz annak eld\u00f6nt\u00e9se, hogy t\u00e9nylegesen adatv\u00e9delmi incidensr\u0151l van sz\u00f3, vagy t\u00e9ves riaszt\u00e1sr\u00f3l. A valid\u00e1l\u00e1st k\u00f6vet\u0151en, az incidenst hat\u00e1sa alapj\u00e1n c\u00e9lszer\u0171 prioriz\u00e1lni \u00e9s eszerint a priorit\u00e1si szint szerint er\u0151forr\u00e1sokat hozz\u00e1rendelni a tov\u00e1bbi incidenskezel\u00e9shez.<\/p>\n

A GDPR szigor\u00fa hat\u00e1rid\u0151t \u00edr el\u0151 az incidensekkel kapcsolatos bejelent\u00e9sek megt\u00e9tel\u00e9re. A bejelent\u00e9snek az incidens \u00e9szlel\u00e9s\u00e9t\u0151l sz\u00e1m\u00edtott 72 \u00f3r\u00e1n bel\u00fcl meg kell t\u00f6rt\u00e9nnie. Mivel az adatv\u00e9delmi incidensr\u0151l – kev\u00e9s kiv\u00e9telt\u0151l eltekintve – kiz\u00e1r\u00f3lag a szervezet b\u00edr tudom\u00e1ssal eleinte, a hat\u00e1rid\u0151 megtart\u00e1s\u00e1nak figyel\u00e9se k\u00e9rd\u00e9ses \u00e9s csak ut\u00f3lagosan, hat\u00f3s\u00e1gi audit keret\u00e9ben \u00e1llap\u00edthat\u00f3 meg. Ugyanakkor a f\u0151szab\u00e1ly al\u00f3l a GDPR maga \u00e1llap\u00edt meg kiv\u00e9telt. Abban az esetben nem kell bejelenteni az adatv\u00e9delmi incidenst 72 \u00f3r\u00e1n bel\u00fcl, ha az val\u00f3sz\u00edn\u0171s\u00edthet\u0151en nem j\u00e1r kock\u00e1zattal a term\u00e9szetes szem\u00e9lyek jogaira \u00e9s szabads\u00e1gaira n\u00e9zve. Ilyen eset lehet, ha a szem\u00e9lyes adatokat olyan technikai int\u00e9zked\u00e9s, p\u00e9ld\u00e1ul titkos\u00edt\u00e1s v\u00e9dte, amelynek a visszafejt\u00e9se a mai sz\u00e1m\u00edt\u00e1si kapacit\u00e1s alapj\u00e1n nem lehets\u00e9ges, vagy maga az incidensekkel \u00e9rintett szem\u00e9lyes adatok k\u00f6re csek\u00e9ly, elhanyagolhat\u00f3 m\u00e9rt\u00e9k\u0171 kock\u00e1zatot jelent, p\u00e9ld\u00e1ul az adatalanyok telefonk\u00f6nyv szerint is nyilv\u00e1nos vezet\u00e9k \u00e9s keresztneveinek kisziv\u00e1rg\u00e1sa a telefonszolg\u00e1ltat\u00f3t\u00f3l.<\/p>\n

b)<\/strong> A tov\u00e1bbi k\u00e1rok megel\u0151z\u00e9se \u00e9rdek\u00e9ben az incidenseket, az \u00e9rintett rendszereket, szem\u00e9lyeket a valid\u00e1l\u00e1sukat k\u00f6vet\u0151en be kell hat\u00e1rolni \u00e9s el kell k\u00fcl\u00f6n\u00edteni. Ezzel p\u00e1rhuzamosan gondoskodni kell az incidens bek\u00f6vetkez\u00e9s\u00e9t al\u00e1t\u00e1maszt\u00f3 bizony\u00edt\u00e9kok meg\u0151rz\u00e9s\u00e9n \u00e9s begy\u0171jt\u00e9s\u00e9n, ak\u00e1r k\u00fcl\u00f6n forensic szak\u00e9rt\u0151 ig\u00e9nybe v\u00e9tel\u00e9vel. A bizony\u00edt\u00e9kok begy\u0171jt\u00e9s\u00e9t \u00e9s biztos\u00edt\u00e1s\u00e1t k\u00f6vet\u0151en lehet megkezdeni a k\u00e1rok helyre\u00e1ll\u00edt\u00e1s\u00e1t \u00e9s az \u00fczemszer\u0171 m\u0171k\u00f6d\u00e9s vissza\u00e1ll\u00edt\u00e1s\u00e1t.<\/p>\n

A GDPR a bizony\u00edt\u00e9kok tekintet\u00e9ben nem tartalmaz kifejezett, taxat\u00edv list\u00e1t, ugyanakkor az el\u0151\u00edr\u00e1sai alapj\u00e1n az al\u00e1bbiakat al\u00e1t\u00e1maszt\u00f3 bizony\u00edt\u00e9kok meg\u0151rz\u00e9se kiemelten javasolt:<\/p>\n

– az adatv\u00e9delmi incidens jelleg\u00e9re, bele\u00e9rtve \u2013 ha lehets\u00e9ges \u2013 az \u00e9rintettek kateg\u00f3ri\u00e1ira \u00e9s hozz\u00e1vet\u0151leges sz\u00e1m\u00e1ra (p\u00e9ld\u00e1ul jogosulatlan k\u00fcls\u0151 hozz\u00e1f\u00e9r\u00e9s az adatfeldolgoz\u00f3 rendszereihez, amely miatt az adott szolg\u00e1ltat\u00e1st ig\u00e9nybe vev\u0151 10.000 \u00fcgyf\u00e9l szem\u00e9lyes adatainak bizalmass\u00e1ga s\u00e9r\u00fclt)
\n– az incidenssel \u00e9rintett adatok kateg\u00f3ri\u00e1ira \u00e9s hozz\u00e1vet\u0151leges sz\u00e1m\u00e1ra (p\u00e9ld\u00e1ul egyes \u00fcgyf\u00e9ltranzakci\u00f3k \u00e9s sz\u00e1ma)
\n– az adatv\u00e9delmi incidensb\u0151l ered\u0151, val\u00f3sz\u00edn\u0171s\u00edthet\u0151 k\u00f6vetkezm\u00e9nyekre (p\u00e9ld\u00e1ul a szem\u00e9lyes adatnak min\u0151s\u00fcl\u0151 bankk\u00e1rtya adatokkal interneten kereszt\u00fcl fizet\u00e9si tranzakci\u00f3t lehet teljes\u00edteni)
\n– az adatkezel\u0151 \u00e1ltal az adatv\u00e9delmi incidens orvosl\u00e1s\u00e1ra tett vagy tervezett int\u00e9zked\u00e9sekre (p\u00e9ld\u00e1ul az \u00e9rintett bankk\u00e1rty\u00e1k \u00e9rv\u00e9nytelen\u00edt\u00e9se vagy szerz\u0151d\u00e9s bont\u00e1s a k\u00fcls\u0151 szolg\u00e1ltat\u00f3val)<\/p>\n

vonatkoz\u00f3 bizony\u00edt\u00e9kok meg\u0151rz\u00e9se.<\/p>\n

Kiindul\u00f3 pont lehet tov\u00e1bb\u00e1 az egyes bejelent\u00e9sekkel kapcsolatban a nyilv\u00e1nos elektronikus h\u00edrk\u00f6zl\u00e9si szolg\u00e1ltat\u00e1shoz kapcsol\u00f3d\u00f3 adatv\u00e9delmi \u00e9s titoktart\u00e1si k\u00f6telezetts\u00e9gre, az adatkezel\u00e9s \u00e9s a titokv\u00e9delem k\u00fcl\u00f6nleges felt\u00e9teleire, a h\u00e1l\u00f3zatok \u00e9s a szolg\u00e1ltat\u00e1sok biztons\u00e1g\u00e1ra \u00e9s integrit\u00e1s\u00e1ra, a forgalmi \u00e9s sz\u00e1ml\u00e1z\u00e1si adatok kezel\u00e9s\u00e9re, valamint az azonos\u00edt\u00f3kijelz\u00e9sre \u00e9s h\u00edv\u00e1s\u00e1tir\u00e1ny\u00edt\u00e1sra vonatkoz\u00f3 szab\u00e1lyokr\u00f3l sz\u00f3l\u00f3 4\/2012. (I. 24.) NMHH rendelet.<\/p>\n

Az NMHH rendelet szerint az al\u00e1bbiakat kell bejelenteni a hat\u00f3s\u00e1g r\u00e9sz\u00e9re, \u00edgy az incidenssel \u00e9rintett adatkezel\u0151 szervezetnek c\u00e9lszer\u0171 az al\u00e1bbiakra vonatkoz\u00f3an bizony\u00edt\u00e9kot gy\u0171jtenie<\/p>\n

– az esem\u00e9ny bek\u00f6vetkezt\u00e9nek id\u0151pontja, sz\u00fcks\u00e9g eset\u00e9n becsl\u00e9s alapj\u00e1n, tov\u00e1bb\u00e1 az esem\u00e9ny \u00e9szlel\u00e9s\u00e9nek id\u0151pontja,
\n– a szem\u00e9lyes adatok megs\u00e9rt\u00e9s\u00e9nek m\u00f3dja \u00e9s k\u00f6r\u00fclm\u00e9nyei,
\n– az \u00e9rintett szem\u00e9lyes adatok jellege \u00e9s tartalma,
\n– a szervezet \u00e1ltal az \u00e9rintett szem\u00e9lyes adatok v\u00e9delm\u00e9re alkalmazott vagy alkalmazni tervezett m\u0171szaki \u00e9s szervezeti int\u00e9zked\u00e9sek,
\n– m\u00e1sik szolg\u00e1ltat\u00f3 ig\u00e9nybev\u00e9tel\u00e9vel val\u00f3 \u00f6sszef\u00fcgg\u00e9s,
\n– az esem\u00e9ny \u00f6sszefoglal\u00e1sa, megjel\u00f6lve az adatok megs\u00e9rt\u00e9s\u00e9nek fizikai hely\u00e9t \u00e9s az \u00e9rintett adathordoz\u00f3t is,
\n– az \u00e9rintett adatalanyok (a rendelet szerint el\u0151fizet\u0151k, felhaszn\u00e1l\u00f3k, vagy m\u00e1s mag\u00e1nszem\u00e9lyek) sz\u00e1ma,
\n– a lehets\u00e9ges k\u00f6vetkezm\u00e9nyek \u00e9s kedvez\u0151tlen hat\u00e1sok ismertet\u00e9se az adatalanyokra n\u00e9zve (el\u0151fizet\u0151kre, felhaszn\u00e1l\u00f3kra, vagy m\u00e1s mag\u00e1nszem\u00e9lyekre n\u00e9zve),
\n– a lehets\u00e9ges kedvez\u0151tlen hat\u00e1sok enyh\u00edt\u00e9s\u00e9re a szolg\u00e1ltat\u00f3 \u00e1ltal alkalmazott m\u0171szaki \u00e9s szervezeti int\u00e9zked\u00e9sek.<\/p>\n

c)<\/strong> C\u00e9lszer\u0171 az incidenskezel\u00e9si folyamat kialak\u00edt\u00e1sa sor\u00e1n olyan, az adott szervezetre egyedileg jellemz\u0151 incidenskezel\u00e9si forgat\u00f3k\u00f6nyvek kialak\u00edt\u00e1sa, amelyek megk\u00f6nny\u00edtik az incidensek azonos\u00edt\u00e1s\u00e1t, kezel\u00e9s\u00e9t, illetve a k\u00e1rok cs\u00f6kkent\u00e9s\u00e9t \u00e9s a m\u0171k\u00f6d\u00e9s helyre\u00e1ll\u00edt\u00e1s\u00e1t. Ilyen incidens forgat\u00f3k\u00f6nyv lehet p\u00e9ld\u00e1ul DDoS (Distributed Denial-of-Service) t\u00edpus\u00fa t\u00e1mad\u00e1sok kezel\u00e9se, vagy p\u00e9nz\u00fcgyi int\u00e9zm\u00e9nyekn\u00e9l a netbankot vagy mobil applik\u00e1ci\u00f3t \u00e9rint\u0151 t\u00e1mad\u00e1sok kezel\u00e9se.<\/p>\n

A GDPR el\u0151\u00edr\u00e1sa szerint ha az adatv\u00e9delmi incidens val\u00f3sz\u00edn\u0171s\u00edthet\u0151en magas kock\u00e1zattal j\u00e1r a term\u00e9szetes szem\u00e9lyek jogaira \u00e9s szabads\u00e1gaira n\u00e9zve, az adatkezel\u0151 indokolatlan k\u00e9sedelem n\u00e9lk\u00fcl t\u00e1j\u00e9koztatja az \u00e9rintettet az adatv\u00e9delmi incidensr\u0151l. Ilyen magas kock\u00e1zat lehet, ha az incidens az adatalanyok p\u00e9nz\u00fcgyi, eg\u00e9szs\u00e9gi helyzet\u00e9t, vagy testi \u00e9ps\u00e9g\u00e9t, ak\u00e1r \u00e9let\u00e9t vesz\u00e9lyeztetheti vagy h\u00e1tr\u00e1nyosan befoly\u00e1solhatja.<\/p>\n

Kiv\u00e9tel ez al\u00f3l, ha az adatkezel\u0151 megfelel\u0151 technikai \u00e9s szervez\u00e9si v\u00e9delmi int\u00e9zked\u00e9seket hajtott v\u00e9gre, \u00e9s ezeket az int\u00e9zked\u00e9seket az adatv\u00e9delmi incidens \u00e1ltal \u00e9rintett adatok tekintet\u00e9ben alkalmazt\u00e1k. Ezen t\u00falmen\u0151en azokban az esetekben, ha az adatkezel\u0151 tov\u00e1bbi olyan int\u00e9zked\u00e9st tett amelyek biztos\u00edtj\u00e1k, hogy az \u00e9rintett jogaira \u00e9s szabads\u00e1gaira jelentett magas kock\u00e1zat a tov\u00e1bbiakban val\u00f3sz\u00edn\u0171s\u00edthet\u0151en nem val\u00f3sul meg, illetve ha a t\u00e1j\u00e9koztat\u00e1s ar\u00e1nytalan er\u0151fesz\u00edt\u00e9st tenne sz\u00fcks\u00e9gess\u00e9. Ki kell emelni ugyanakkor, hogy az adatv\u00e9delmi hat\u00f3s\u00e1g ennek ellen\u00e9re is elrendelheti az \u00e9rintettek t\u00e1j\u00e9koztat\u00e1s\u00e1t.<\/p>\n

Annak \u00e9rdek\u00e9ben, hogy a szervezet megfeleljen a GDPR el\u0151\u00edr\u00e1sainak, az incidenskezel\u00e9si elj\u00e1r\u00e1s, illetve az egyes forgat\u00f3k\u00f6nyvek v\u00e9grehajt\u00e1sa sor\u00e1n javasolt kiemelt figyelmet szentelni a k\u00fcls\u0151, \u00fcgyfelekkel t\u00f6rt\u00e9n\u0151 kommunik\u00e1ci\u00f3ra is (kr\u00edzis kommunik\u00e1ci\u00f3). \u00c1ltal\u00e1ban nem c\u00e9lravezet\u0151 strat\u00e9gia a szervezet r\u00e9sz\u00e9r\u0151l hallgat\u00e1sba burkol\u00f3zni, illetve maga a GDPR is el\u0151\u00edrja az \u00e9rintett adatalanyokra vonatkoz\u00f3 t\u00e1j\u00e9koztat\u00e1si k\u00f6telezetts\u00e9get. A folyamat kialak\u00edt\u00e1sa sor\u00e1n c\u00e9lszer\u0171 meghat\u00e1rozni azt a szem\u00e9lyt, aki ilyen esetekben jogosult a k\u00fclvil\u00e1g sz\u00e1m\u00e1ra (pl. sajt\u00f3, \u00fcgyfelek, hat\u00f3s\u00e1g) sz\u00e1m\u00e1ra nyilatkozni, p\u00e9ld\u00e1ul \u00fcgyvezet\u0151, vagy k\u00fcl\u00f6n PR vezet\u0151 vagy egy\u00e9b kommunik\u00e1ci\u00f3s szak\u00e9rt\u0151. Ezt az\u00e9rt is \u00e9rdemes kiemelni, mert m\u00e1r az incidenskezel\u00e9si folyamat kialak\u00edt\u00e1sakor c\u00e9lszer\u0171 figyelemmel lenni a szervezeten bel\u00fcli, bels\u0151 kommunkici\u00f3s csatorn\u00e1k kialak\u00edt\u00e1s\u00e1ra, arra, hogy ki foglalhat \u00e1ll\u00e1st az incidenssel kapcsolatban, illetve szervezeten bel\u00fcl is ki \u00edrhatja le szakszer\u0171en, hogy mi t\u00f6rt\u00e9nt pontosan az egyes incidensek sor\u00e1n.<\/p>\n

Jellemz\u0151en, a legjobb gyakorlatra figyelemmel incidenskezel\u00e9s c\u00e9lj\u00e1b\u00f3l meghat\u00e1rozott vezet\u0151kb\u0151l \u00e9s szerepl\u0151kb\u0151l \u00e1ll\u00f3 bizotts\u00e1g \u00fcl \u00f6ssze\u00e9s l\u00e1tja el ezeket a feladatokat. Tagok ebben a bizotts\u00e1gban \u00e1ltal\u00e1ban a szervezet vezet\u0151je (CEO), a kommunik\u00e1ci\u00f3s vezet\u0151, a biztons\u00e1gi vezet\u0151, illetvea p\u00e9nz\u00fcgyi \u00e9s m\u0171k\u00f6d\u00e9si vezet\u0151.<\/p>\n

4.<\/strong> A folyamat hat\u00e9konys\u00e1g\u00e1nak jav\u00edt\u00e1sa szempontj\u00e1b\u00f3l fontos a szervezet sz\u00e1m\u00e1ra az \u00e1lland\u00f3 tanul\u00e1s, \u00edgy az egyes incidensekkel kapcsolatban olyan visszacsatol\u00e1si folyamat kialak\u00edt\u00e1sa, amelyb\u0151l a szervezet az okok elemz\u00e9s\u00e9vel a megfelel\u0151 k\u00f6vetkeztet\u00e9sek levon\u00e1s\u00e1t k\u00f6vet\u0151en a j\u00f6v\u0151beni incidensek bek\u00f6vetkez\u00e9s\u00e9nek val\u00f3sz\u00edn\u0171s\u00e9g\u00e9t, illetve hat\u00e1s\u00e1t m\u00e9rs\u00e9kelni tudja.<\/p>\n

A tanul\u00e1si, visszacsatol\u00e1si folyamat mellett fontos a bels\u0151 \u00e9s k\u00fcls\u0151 felek folyamatos oktat\u00e1sa, a bejelent\u00e9si csatorn\u00e1k, a teend\u0151k tudatos\u00edt\u00e1sa, ak\u00e1r \u00e9ves, visszat\u00e9r\u0151 k\u00f6telez\u0151 oktat\u00e1s form\u00e1j\u00e1ban is.<\/p>\n

Fontos kiemelni azt is, hogy az adatkezel\u0151 nyilv\u00e1ntartja az adatv\u00e9delmi incidenseket, felt\u00fcntetve az adatv\u00e9delmi incidenshez kapcsol\u00f3d\u00f3 t\u00e9nyeket, annak hat\u00e1sait \u00e9s az orvosl\u00e1s\u00e1ra tett int\u00e9zked\u00e9seket. Ennek a nyilv\u00e1ntart\u00e1snak lehet\u0151v\u00e9 kell tennie azt, hogy a Nemzeti Adatv\u00e9delmi \u00e9s Inform\u00e1ci\u00f3szabads\u00e1g Hivatala ellen\u0151rizni tudja az adatv\u00e9delmi incidens bejelent\u00e9sekkel kapcsolatos megfelel\u00e9st (\u00edgy p\u00e9ld\u00e1ul az incidens felfedez\u00e9s\u00e9t\u0151l sz\u00e1m\u00edtott, a hat\u00f3s\u00e1g \u00e9s az adatalanyok fel\u00e9 72 \u00f3r\u00e1n bel\u00fcli bejelent\u00e9s megt\u00f6rt\u00e9nt\u00e9t is).<\/p>\n

\u00d6sszefoglal\u00e1sk\u00e9nt a GDPR az adatkezel\u0151 szervezetek sz\u00e1m\u00e1ra olyan \u00faj k\u00f6telezetts\u00e9get \u00edr el\u0151, amely a megl\u00e9v\u0151 folyamatok fel\u00fclvizsg\u00e1lat\u00e1t vagy \u00faj, bels\u0151 folyamat \u00e9s technikai int\u00e9zked\u00e9sek kialak\u00edt\u00e1s\u00e1t k\u00f6vetelik meg. Seg\u00edtheti a GDPR-nak val\u00f3 megfelel\u00e9st, ha a szervezet valamilyen p\u00e9ld\u00e1ul az ISO 27001 szabv\u00e1ny szerinti biztons\u00e1gi ir\u00e1ny\u00edt\u00e1si rendszert vezet be \u00e9s m\u0171k\u00f6dtet.<\/p>\n","protected":false},"excerpt":{"rendered":"

Az Eur\u00f3pai Uni\u00f3 \u00c1ltal\u00e1nos Adatv\u00e9delmi Rendelet\u00e9nek (GDPR) egyik, minden adatkezel\u0151t \u00e9rint\u0151 \u00faj\u00edt\u00e1sa az adatv\u00e9delmi incidensek bejelent\u00e9si k\u00f6telezetts\u00e9ge.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":[],"categories":[900,770],"tags":[124,892,894,880,12,856,896,898],"_links":{"self":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1544"}],"collection":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1544"}],"version-history":[{"count":15,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1544\/revisions"}],"predecessor-version":[{"id":1567,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1544\/revisions\/1567"}],"wp:attachment":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1544"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1544"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1544"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}