Vizsgáljuk, hogy történt-e adatvédelmi incidens és ha igen, akkor az alábbi lépéseket tesszük meg.
Az adatvédelmi incidens bekövetkeztének esetére az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban: GDPR) konkrét eljárásrendet ír elő. Az incidenskezelés az adatkezelő kötelezettsége.
1. lépés - az incidenst kategorizálni kell (az érintett természetes személyek jogára és szabadságára milyen hatással van) - magas kockázat, kockázat, kockázat hiánya
2. lépés - Az adatvédelmi incidenst az adatkezelő indokolatlan késés nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeli hatóságnak HAIH.HU, kivéve, ha az adatvédelmi incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A Rendelet a bejelentés tartalmát is meghatározza, amiben ismertetni kell - ha lehetséges -
- az adatvédelmi incidens időpontját
- az érintettek kategóriáit és hozzávetőleges számát,
- az incidenssel érintett adatok kategóriáit és hozzávetőleges számát,
- az incidensből eredő, valószínűsíthető következményeket, hatásait
- az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket (az incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket)
