Korábban külön blog post keretében számoltunk be arról, hogy a GDPR 2018. május 25. után milyen új kötelezettségeket ír elő a biztosítási szektor számára is. Az új előírások közül ezúttal az adatvédelmi incidensek bejelentésére vonatkozó szabályokat elemezzük közelebbről, amelyek alkalmazása újfajta megközelítést kíván az érintettektől. Nyilvánvaló ugyanis, hogy a jogkövető magatartáshoz önmagában nem elegendő a jogszabály betűjének ismerete. Ezt felismerve az Insurance Europe a közelmúltban adatvédelmi incidensek bejelentésére szolgáló űrlapot dolgozott ki. Az Insurance Europe a nemzeti biztosítási szövetségeket tömörítő „csúcsszövetség”, amely 1953-ban alakult meg Párizsban. A Magyar Biztosítók Szövetsége 1992. óta társult tagja, majd 1998. óta rendes tagja a szervezetnek.
A jogszabályi háttér: adatvédelmi incidens a GDPR-ban
A GDPR 4. cikk 12. pontjának meghatározása szerint adatvédelmi incidens a(z) (adat)biztonság „olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.
A GDPR (85) számú preambulum bekezdése szerint, az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között
(i) a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
(ii) hátrányos megkülönböztetést,
(iii) személyazonosság-lopást vagy a személyazonossággal való visszaélést,
(iv) pénzügyi veszteséget,
(v) az álnevesítés engedély nélküli feloldását,
(vi) a jó hírnév sérelmét,
(vii) a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve
(viii) a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.
A GDPR szerint ezért, amint az adatkezelő tudomására jut az adatvédelmi incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azt követően, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni az illetékes felügyeleti hatóságnál. Ha a bejelentés 72 órán belül nem tehető meg, úgy az ennél később megtett bejelentésben meg kell jelölni a késedelem okát, az előírt információkat pedig – további indokolatlan késedelem nélkül – részletekben is közölni lehet.
A bejelentési kötelezettség alóli általános kivétel, ha az elszámoltathatóság elvével összhangban az adatkezelő bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Fontos kiemelni, hogy a bizonyítási teher az adatkezelőn van, tehát nem elég megfelelni a követelménynek – mindezt nyilvánvalóan bizonyítani kell tudni az adatvédelmi szankciók elkerülése érdekében.
A felügyeleti hatóságon túl mindenkor – késedelem nélkül – értesíteni kell az érintettet is abban az esetben, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy az érintett is megtehesse a szükséges óvintézkedéseket.
A tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat is. Az érintettek tájékoztatásáról az ésszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa, vagy más érintett hatóságok – például bűnüldöző hatóságok – által adott útmutatást.
Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani.
Az értesítéssel egyidejűleg az adatkezelőnek meg kell bizonyosodnia arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e.
Szakmai segítség a biztosítási szektor számára: az Insurance Europe formanyomtatványa
A fentieken túl a GDPR előírja, hogy az adatvédelmi incidensről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok kialakításakor az adatvédelmi incidens körülményeire megfelelő figyelmet kell fordítani, beleértve azt is, hogy a személyes adatokat olyan megfelelő technikai védelmi intézkedésekkel védték-e, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának a valószínűségét. Figyelembe kell venni továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti közlés szükségtelenül veszélyeztetné az adatvédelmi incidens körülményeinek kivizsgálását.
A fenti előírások betartása számtalan kérdést vet fel az egyes biztosítási iparági szereplők számára. Nem csak a jelentés tartalmi összetevőit kell jól ismerni, de adott esetben gondoskodni kell az infrastrukturális háttérről és szakembergárdáról is. Ezek különösen a kisebb iparági szereplők (alkuszcégek, captive biztosítók, specializált kölcsönös biztosító egyesületek) számára jelenthet jelentős többletterhet, kihívást.
A GDPR adatvédelmi incidens gyakorlatának betartatása ezen túl a felügyeleti hatóságok számára is kihívást jelent, hiszen egyforma szempontok szerint kell vizsgálniuk a különböző méretű, profilú szereplőket, így pl. a nemzetközi (tagállami vagy harmadik állambeli) biztosítók, alkuszcégek adott tagállamban letelepedett fióktelepeit és a hazai bejegyzésű entitásokat is.
Az Insurance Europe a fentieket felismerve kidolgozott egy olyan formanyomtatványt, amely az adatvédelmi incidens bejelentését anonim, szabványosított formában teszi lehetővé az iparági szereplők számára. A felügyeleti hatóságok pedig a formanyomtatvány szempontjainak figyelembe vételével ellenőrizhetik, hasonlíthatják össze és dolgozhatják fel az incidensekre vonatkozó beadványok adatait.
A formanyomtatvány három részből áll. Az első (nem nyilvános) rész az adatvédelmi incidenssel érintett iparági szereplő (biztosító, alkuszcég, viszontbiztosító, stb.) adatait tartalmazza. A további két szekció az adatvédelmi incidens nyilvános, de anonim adatokból álló információt határozza meg előre megadott válaszok, illetve számkombinációk alapján. Ezen belül a formanyomtatvány második része a GDPR 33. cikke alapján a hatáskörrel, illetékességgel rendelkező felügyeleti hatóság számára 72 órán belül továbbítandó adatokat tartalmazza. A harmadik rész az információk 72 órán túl történő bejelentésére ad lehetőséget. Utóbbiak az adatvédelmi incidens további elemzésére szolgálnak, akár harmadik fél bevonását is lehetővé teszik.
Az űrlap és a vonatkozó angol nyelvű útmutató itt (https://www.insuranceeurope.eu/template-data-breach-notifications) érhető el.