Mit kell tartalmazzon az adatvédelmi incidens dokumentáció?

Az újonnan bevezetett adatvédelmi jogszabálynak köszönhetően a személyes adatok védelmére nagy hangsúlyt fektetnek, és a kihágási bírságok is nagyok. Azonban adatvédelmi incidensek történnek, és ezeknek a kiküszöbölése érdekében a GDPR szigorú határidőket és szabályokat állapított meg. Mi is pontosan az adatvédelmi incidens? A biztonság azon sérülése, mely a személyes adatok jogellenes vagy véletlen megsemmisítését, megváltoztatását, elvesztését, jogosulatlan közlését, vagy jogosulatlan hozzáférést eredményezhet vagy eredményezi. Az adatkezelő az észlelt incidenst köteles az adatvédelmi hatóságnak bejelenteni, legfeljebb 72 óra elteltével, hogy tudomására jutott. A bejelentés esetén dokumentációt kell összeállítani, amelynek három dolgot kell tartalmaznia.

Elsősorban meg kell jelölni az incidens jelleget, amennyiben lehetséges fel kell tüntetni az érintettek számát és kategóriáit, továbbá az érintett adatok számát és kategóriáit. A dokumentáció minden esetben kell tartalmazza továbbá, az adatvédelmi tisztviselő vagy a kapcsolattartó teljes nevét és elérhetőségeit, telefonszám, e-mail cím. És végül fel kell tüntetni azokat a megoldásokat, tett vagy tervezett intézkedéseket, amelyek az adatvédelmi incidens jogorvoslására vonatkozóan lettek megjelölve. A dokumentáció összeállításában ezt a három dolgot kell figyelembe venni és továbbítani a hatóságok fele. Amennyiben az adatkezelő elmulasztja az észlelet incidensek, kiértékelését és jelentését, esetleges enyhítését, vagy nem megfelelőképp jár el, következményképpen a rendelet a legmagasabb összegű bírságot szabja ki.