Adatvédelmi incidensek kezelése. Adatvédelmi incidensnek minősül minden olyan esemény, amely a Szolgáltató által kezelt, továbbított, tárolt vagy feldolgozott személyes adatokkal kapcsolatban a személyes adat jogellenes kezelését vagy feldolgozását, így különösen jogosulatlan vagy véletlen hozzáférését, megváltoztatását, közlését, törlését, elvesztését vagy megsemmisítését, valamint véletlen megsemmisülését és sérülését eredményezi. A Szolgáltató indokolatlan késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) részére az adatvédelmi incidenst, kivéve, ha bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg, abban meg kell jelölni a késedelem okát. A NAIH részére történő bejelentés legalább a következő információkat tartalmazza: • az adatvédelmi incidens jellege, az érintettek és a személyes adatok száma és kategóriája; • az adatvédelmi tisztviselő neve, elérhetősége; • az adatvédelmi incidensből származó, valószínűsíthető következmények; • a megtett vagy tervezett intézkedések az adatvédelmi incidens kezelésére, elhárítására, orvoslására. Ezen kívül, amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, a Szolgáltató indokolatlan késedelem nélkül tájékoztatja az érintettetek az adatvédelmi incidens bekövetkezéséről, kivéve, amennyiben az adatvédelmi incidens káros hatásait, kockázatait sikeresen megakadályozta. A tájékoztatást a honlapon is közzétesszük. A tájékoztatásnak legalább a jelen pontban meghatározott adatokat kell tartalmaznia. Az adatvédelmi incidensekről a Szolgáltató az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintettek tájékoztatása céljából nyilvántartást vezet. A nyilvántartás az alábbi adatokat tartalmazza: • az adatvédelmi incidenssel kapcsolatos tények: o az adatvédelmi incidens jellege; o az érintett személyes adatok köre (kategóriái) és száma; o az érintettek köre (kategóriái) és száma; o az adatvédelmi incidens időpontja; • az adatvédelmi incidens körülményei, hatásai; • az adatvédelmi incidens elhárítására megtett intézkedések. A nyilvántartásban szereplő adatokat a Szolgáltató az adatvédelmi incidens észlelésétől számított 5 évig őrzi meg.
Adatvédelmi incidensek kezelése. 6.1.1. A Szolgáltató a tudomására jutott adatvédelmi incidensről a szolgáltatás igénybe vevőjét haladéktalanul, de legkésőbb 72 (hetvenkét) órán belül értesíti. A Szolgáltató ennek során – amennyiben ez lehetséges – tájékoztatja a szolgáltatás igénybe vevőjeét az incidens bekövetkeztének időpontjáról és körülményeiről, várható hatásairól, az incidenssel érintett személyek köréről és hozzávetőleges számáról, valamint az incidens orvoslása érdekében megtett intézkedéseiről.
Adatvédelmi incidensek kezelése. Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az Adatkezelő az adatvédelmi incidenst haladéktalanul bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira és szabadságaira nézve. Az Adatkezelő az adatvédelmi incidenseket nyilvántartja, az adott incidenshez kapcsolódó intézkedésekkel együtt. Ha az incidens súlyos (azaz vélhetően magas kockázattal jár az érintett jogaira és szabadságaira nézve), az Adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Adatvédelmi incidensek kezelése. 10.1. Az Adatfeldolgozó késedelem nélkül, de legfeljebb a személyes adatokat érintő adatvédelmi incidensről való tudomásszerzéstől számított 6 (hat) órán belül köteles tájékoztatni az MKPK-t az adatvédelmi incidens bekövetkezéséről, amennyiben az adatvédelmi incidens olyan személyes adatokat érint, amiket az MKPK mint adatkezelő és az Adatfeldolgozó mint adatfeldolgozó kezel.
10.2. Az adatvédelmi incidens tekintetében az Adatfeldolgozó legalább az alábbiakról nyújt tájékoztatást: • az adatvédelmi incidens jellegéről (érintettek kategóriái, hozzávetőleges száma, az incidenssel érintett személyes adatok kategóriái és hozzávetőleges száma); • az adatvédelmi incidens tekintetében kapcsolattartóként eljáró személy neve és elérhetősége; • az adatvédelmi incidensből eredő, valószínűsíthető következmények; • az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések.
10.3. Az Adatfeldolgozó a fenti 10.2. pont szerinti tájékoztatáson túl köteles az MKPK-val az adatvédelmi incidens hatásainak megszüntetése, az adatvédelmi incidens felderítése és kivizsgálása során együttműködni és az MKPK-t az adatvédelmi incidenssel kapcsolatos teendők ellátása során a lehetséges mértékben segíteni.
Adatvédelmi incidensek kezelése. 1. A leggyakoribb jelentett incidensek lehetnek például:
Adatvédelmi incidensek kezelése. A személyes adatok megsértésének az észlelése esetén a Szolgáltató haladéktalanul bejelenti azta Nemzeti Média és Hírközlési Hatóságnak (Hatóság). A Szolgáltató olyan nyilvántartást vezeta személyes adatok megsértésének eseteiről, amely tartalmazza az ilyen esetek lényeges körülményeit, hatásait, valamint a Szolgáltató által megtett korrekciósintézkedéseket is. A nyilvántartás csak az említett cél eléréséhez szükséges információkat tartalmazza (Eht. 156 § (3) és (4)). Az Előfizetői személyes adatok megsértését jelenti a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt, vagy más egyéb módon kezelt vagy feldolgozott személyes adatok véletlen, vagy jogellenes kezelése vagy feldolgozása, így különösen megsemmisítése, elvesztése, módosítása, jogosulatlan fe lfedése, nyilvánosságra hozatala, vagy azazokhoz valójogosulatlan hozzáférés (Eht. 156. § (2)). Ha a személyes adatok megsértése várhatóan hátrányosan érinti az Előfizető, vagy más magánszemély személyes adatait, vagy magánéletét, akkor a Szolgáltató erről az Előfizetőt, vagy magánszemélyt is indokolatlan késedelem nélkül értesíti (Eht. 156. § (5)). A Szolgáltató a személyes adatok megsértését az észlelést követően az Akr. 5. § (2)-(10) bekezdésében foglalt feltételek szerint elektronikus úton a Hatóságnak isbejelenteni. Az értesítést a Szolgáltató a személyes adatok megsértésének észlelése után indokolatlan késedelem nélkül, de legfeljebb 24 órán belül, olyan kommunikációs eszközzel köteles teljesíteni, amely biztosítja az információ gyors célba érését és amely a tudomány és a technika mindenkori állása szerint megfelelően biztonságos. Ilyen kommunikációs eszköznek kell tekinteni különösen az elektronikus levélben, vagy telefonon, vagyrövid szöveges üzenetben, valamint a Szolgáltató honlapján közzétett tájékoztatást. Nem szükséges a honlapon történő tájékoztatás, ha a személyes adatok megsértése az érintett Szolgáltató Előfizetőinek 0,01%-ánál kevesebb Előfizetőt érint (Akr. 5. § (12)). A személyes adatok megsértéséről szóló értesítést világosan és közérthetően kell megfogalmazni. Az értesítés kizárólag a személyes adatok megsértésével kapcsolatos információkat tartalmazhat és más tárgyú tájékoztatással nem kapcsolható össze, nem használható fel új, vagykiegészítő szolgáltatások népszerűsítésére, vagy reklámozására. (Akr. 5. § (13)) Ha a Szolgáltató nem tudja azonosítani a 24 órás határidőn belül azokat a felhasználókat, vagy más magánszemélyeket, ak...
Adatvédelmi incidensek kezelése. 7.1 Szerződő felek megfelelő szervezési és technikai intézkedéseket hoznak annak érdekében, hogy az adatvédelmi incidenseket el tudják kerülni, a bekövetkezett incidenseket késedelem nélkül észlelni tudják, az észlelt incidens súlyosságát meg tudják állapítani és az incidenst haladéktalanul, de legkésőbb a tudomásszerzéstől számított 24 órán belül értesíteni tudják egymást az 5. pont szerintieknek megfelelően.
7.2 A Szerződő felek az értesítésben legalább a GDPR 33. cikk (3) bekezdése szerinti információkat, valamint azokat az intézkedéseket kötelesek megjelölni, amelyek meghozatalával maguk az érintettek mérsékelhetik az incidensből származó kockázatokat.
7.3 A Szerződő felek megállapodnak abban, hogy amennyiben a fenti adatok közül 24 órán belül nem áll rendelkezésre minden információ, akkor is tartalmazza az értesítés legalább a GDPR 33. cikk (3) bekezdés a) és b) pontjainak adatait. A további információkat indokolatlan késedelem nélkül biztosítják egymás részére.
7.4 Szerződő felek vállalják, hogy adatvédelmi incidens esetén, amennyiben azt szükségesnek látják, a tájékoztatást követően haladéktalanul egyeztetnek a következmények mérséklése – ideértve az érintettek tájékoztatását is –, vagy ha az lehetséges az incidens megszüntetése érdekében.
7.5 Szerződő felek megállapodnak, hogy a jelen melléklet tárgyát érintő adatvédelmi incidenst, amennyiben az kockázattal jár az érintettek számára, akkor annak a félnek a kötelezettsége bejelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (a továbbiakban: NAIH), akinél, illetőleg akinek az adatfeldolgozójánál történt az incidens. Amennyiben az incidens a domain regisztrációs rendszer egészét érinti a Nyilvántartó jelenti be az incidenst.
Adatvédelmi incidensek kezelése. 10.1. Az Adatfeldolgozó megfelelő szervezési és technikai intézkedéseket hoz annak érdekében, hogy az adatvédelmi incidenseket el tudja kerülni, a bekövetkezett incidenseket késedelem nélkül észlelni tudja, az észlelt incidens súlyosságát meg tudja állapítani és az incidenst haladéktalanul, de legkésőbb, ha lehetséges, a tudomásszerzéstől számított 48 órán belül jelezni tudja az Adatkezelő felé. Ha az Adatfeldolgozó adatvédelmi incidensre vonatkozó jelzése nem történik meg 48 órán belül Adatkezelő felé, úgy Adatfeldolgozó a jelzéssel egyidejűleg megküldi a késedelem igazolására szolgáló indokokat is Adatkezelő részére.
10.2. Az Adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelőnek. Az Adatfeldolgozó a bejelentésben legalább: • ismertetni köteles az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; • közölnie kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit; • ismertetnie kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket; • ismertetni köteles az Adatfeldolgozó által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
10.3. Amennyiben az incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, úgy az incidens hatóságok felé történő bejelentése Adatkezelő kötelessége.
Adatvédelmi incidensek kezelése. 11.1. Ha az adatkezelés során bármiféle jogellenes vagy szabályellenes dolgot tapasztalunk, vagy bármi jogszerűtlen történik. A bejelentésben:
a) ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
b) közölni kell kapcsolattartó nevét és elérhetőségeit;
c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
d) ismertetni kell a vállalkozás által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
11.2. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül tájékoztatni kell az érintettet az adatvédelmi incidensről.
Adatvédelmi incidensek kezelése. Adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az Adatkezelő szerződésben megjelölt kapcsolattartója és az adatvédelmi tisztviselője/felelőse részére. Az Adatkezelő által észlelt adatvédelmi incidens kivizsgálása során, Adatfeldolgozó haladéktalanul, de legkésőbb 24 órán belül elvégzi az incidens elemzéséhez szükséges vizsgálatokat, melyek eredményéről Adatkezelőt írásban tájékoztatja. Adatfeldolgozó az incidenskezelés során, annak kivizsgálása és kezelése folyamatában az Adatkezelő Incidenskezelési szabályzatát köteles követni. Amennyiben az incidens oka az Adatfeldolgozó szolgáltatási tevékenységével összefüggésbe hozható, Adatfeldolgozó köteles az incidens kezelésével, illetve megelőzésével kapcsolatban szükséges intézkedések meghozatalára, az észszerűen elvárható határidőn belül.