Incidenskezelési szabályzat

ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND

Bevezetés

A jelen szabályzat a Monster Magyarország Kft. (székhely:1066 Budapest, Mozsár utca 16. 3. em; cégjegyzékszám: 01-09-681593; adószám: 11888859-2-42) (a továbbiakban: „Adatkezelő”), az általa kezelt bármely személyes adatokat érintő adatvédelmi incidensek esetleges bekövetkezte esetén irányadó eljárásrendet szabályozza, különös tekintettel az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (a továbbiakban: „GDPR”) adatvédelmi incidensekre vonatkozó előírásaira.

1. AZ ADATVÉDELMI INCIDENS FOGALMA ÉS BELSŐ JELENTÉSE

A GDPR alapján adatvédelmi incidensnek minősül:

„a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

A mindennapi gyakorlat során többféle incidens is előfordulhat, így például:

  1. titokvédelmi incidens: ide tartoznak a személyes adatokhoz való jogosulatlan hozzáférés és nyilvánosságra kerülés esetei;
  2. adatmódosítási incidens: ide tartoznak azok az esetek, amikor személyes adatok jogosulatlan vagy véletlen módosítása történik;
  3. adatmegsemmisülési incidens: ide tartoznak azok az esetek, amikor személyes adatok jogosulatlan vagy véletlen törlésére kerül sor.

Amennyiben az Adatkezelő bármely munkavállalója vagy az Adatkezelő személyes adataihoz hozzáférő egyéb személy (adatfeldolgozó) bármilyen adatvédelmi incidenst, vagy annak reális veszélyét tapasztalja, azt köteles részletesen és haladéktalanul bejelenteni az alábbi személy részére, és neki minden segítséget időszerűen megadni az adatvédelmi incidens minél teljesebb körű feltárása és kezelése érdekében:

Név: Tóth Tamara
Cím: 1066 Budapest, Mozsár utca 16. 3. em
Telefon: +3670-674-6967
Email: tamara.toth@monster.hu

A bejelentett incidensek értékelését a fenti személy feladata elvégezni és dokumentálni.

Amennyiben az eset valószínűsíthetően adatvédelmi incidensnek minősül, az értékelést elvégző személy köteles az incidens kezelésével kapcsolatos eljárást haladéktalanul megindítani.

2. KÜLSŐ TÁJÉKOZTATÁSI KÖTELEZETTSÉG

Amennyiben adatvédelmi incidens történt, az Adatkezelő – a 3.2 pont szerinti kockázatértékelés eredménye alapján - az alábbi szerv és/vagy személyek tájékoztatására lehet köteles:

  1. A 3. pont szerinti felügyeleti hatóság; és/vagy
  2. az érintettek (azok a természetes személyek, akiknek a személyes adatait az adatvédelmi incidens érinti).

3. A FELÜGYELETI HATÓSÁG

A GDPR alapján az Adatkezelő tekintetében a felügyeleti hatóság az alábbi:

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C
Telefon: +36 1 391 1400
Fax: +36 1 391 1410
Email: ugyfelszolgalat@naih.hu

4. INCIDENSKEZELÉSI ELJÁRÁS

Az incidens menedzsment fő lépései az incidens fentiek szerinti bejelentését követően:

  • az incidens észlelése, azonosítása (adatvédelmi incidens történt-e)
  • az incidens rögzítése, dokumentálása
  • az incidens kockázatértékelése
  • döntés a felügyeleti hatóság tájékoztatásáról
  • bejelentés a felügyeleti hatóság részére (opcionális)
  • döntés az érintettek tájékoztatásáról
  • bejelentés az érintettek részére (opcionális)
  • megoldás és lezárás
  • analízis

4.1 Az adatvédelmi incidensek észlelése, azonosítása, rögzítése

Az incidensek azonosítása történhet automatizáltan (felügyeleti rendszerrel), illetve manuálisan, az észlelő bejelentése alapján.

Az azonosított incidens kapcsán dokumentáltan rögzíteni kell az alábbiakat:

  • az incidens keletkezési dátuma és időpontja
  • az incidenst rögzítő személy/csoport neve/azonosítója
  • az incidens egyedi azonosító száma
  • az incidens adatvédelmi jellegének megállapítása
  • az incidens kockázati értékelése
  • az észlelt jelenségek leírása
  • az incidens megoldása érdekében elvégzett tevékenységek
Az adatvédelmi incidensről értesíteni kell:
  • az Adatkezelő 1. pontban meghatározott képviselőjét
  • az Adatkezelő adatvédelmi tisztviselőjét
  • az Alma Group részéről az alábbi további személyt: Matti Vehno
  • a Monster részéről az alábbi további személyt (amennyiben az incidens a Monster WorldWide által üzemeltetett rendszer(eke)t érinti: Michael Jones

4.2 Az adatvédelmi incidens kockázatértékelése

A kockázatértékelés során az adatvédelmi incidens által jelentett kockázat szintjét és mértékét értékeli, amelynek körében, többek között, az alábbi szempontokat veszi figyelembe:

  1. az incidens jellege (titokvédelmi, adatmódosítási, adatmegsemmisülési vagy egyéb incidens);
  2. az incidenssel érintett személyes adatok természete és érzékenysége (a különleges adatokat is érintő incidensek magasabb kockázatú incidensnek minősülnek); valamint
  3. az incidenssel érintett személyes adatok mennyisége (az ügyfelek nagyobb csoportját érintő incidensek magasabb kockázatú incidensnek minősülnek).

Alacsony kockázati besorolású adatvédelmi incidens: ha csak néhány ügyfelet érinthet, titokvédelmi vagy adatmódosítási incidens, azaz végleges adatmegsemmisülésre nem került sor, és különleges adatokat nem érint.

Közepes kockázati besorolású adatvédelmi incidens: ha az ügyfelek jelentős körét érintheti, de különleges adatot nem érint és végleges adatmegsemmisülésre sem került sor.

Magas kockázati besorolású adatvédelmi incidens:ha az ügyfelek nagyobb csoportját érintheti, és/vagy a személyes adatok különleges kategóriáját is érintheti, és/vagy ha személyes adatok végleges megsemmisülése (pl. törlése) is bekövetkezett, és/vagy az incidens az érintett ügyfeleknek további kárt okozhat.

A fenti kockázati besorolás elsősorban iránymutatásként szolgál és a kockázatértékelést végző, illetve ellenőrző személy jogosult az incidens összes körülménye alapján magasabb kockázati besorolást alkalmazni, különösen, ha az incidens eszkalálódhat, és az érintettekre nézve további hátrányos következményekkel, különösen, kár bekövetkeztével járhat.

A kockázatértékelés módját, az indokolást és az értékelés során levont következtetéseket dokumentálni kell. A kockázatértékelés eredményének az alábbi következtetések egyikét kell tartalmaznia:

  1. Az adatvédelmi incidens nem igényel bejelentést.
  2. Az adatvédelmi incidenst csak a felügyeleti hatóságnak kell bejelenteni.
  3. Az adatvédelmi incidenst a felügyeleti hatóságnak és az érintetteknek egyaránt be kell jelenteni.

4.3 Döntés az adatvédelmi incidens felügyeleti hatóság felé történő bejelentéséről

A GDPR előírása alapján az adatkezelési incidenst be kell jelenteni a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve (GDPR 33. cikk).

Amennyiben a 4.2 pont szerinti kockázatértékelés alapján az adatvédelmi incidenst be kell jelenteni a felügyeleti hatóság részére, a bejelentést indokolatlan késedelem nélkül, de legkésőbb 72 (hetvenkettő) órával azután kell megtenni, hogy az adatvédelmi incidens a Társaság tudomására jutott (GDPR 33. cikk). Ha a bejelentésre jogszerű indok alapján nem kerül sor 72 (hetvenkettő) órán belül, az indokot is fel kell tüntetni a felügyeleti bejelentésben.

A felügyeleti hatóság felé a bejelentést az alábbi módokon lehet megtenni, azzal, hogy figyelembe kell venni a felügyeleti hatóság által a bejelentésekre a jövőben meghatározott mindekori eljárásrendet:

Név: Nemzeti Adatvédelmi és Információszabadság Hatóság
Cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/C
Telefon: +36 1 391 1400
Fax: +36 1 391 1410
E-mail: ugyfelszolgalat@naih.hu

A bejelentést a felügyeleti hatóság felé megfelelő módon és biztonságosan kell megtenni, és a bejelentésben meg kell adni a GDPR 33. cikke szerinti információkat.

4.4 Döntés az adatvédelmi incidens érintettek felé történő bejelentéséről

A GDPR előírása alapján az adatkezelési incidensről tájékoztatni kell az érintetteket, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (GDPR 34. cikk). Ennek értelmében a Társaság az érintetteket csak ’magas’ kockázati besorolású adatvédelmi incidens esetén köteles egyénenként tájékoztatni.

A fentiek szerinti tájékoztatás ’magas’ kockázati besorolású adatvédelmi incidens esetén is mellőzhető, ha a tájékoztatás a Társaság részéről aránytalan erőfeszítést tenne szükségessé (GDPR 34. cikk), de az érintetteket ilyen esetekben is tájékoztatni kell nyilvánosan közzétett információk útján – pl. a Társaság honlapján keresztül.

Ha a Társaság a 4.2 pont szerinti kockázatértékelés alapján az érintettek tájékoztatása mellett döntött, azt indokolatlan késedelem nélkül köteles megtenni. Az érintetteknek adott tájékoztatásban világosan és közérthetően kell ismertetni az adatvédelmi incidens jellegét (GDPR 34. cikk), valamint meg kell adni a következő információkat:

  1. az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;
  2. az adatvédelmi incidensből eredő, valószínűsíthető következmények leírását; és
  3. az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az esetleges hátrányos következmények enyhítését célzó intézkedéseket

Az adatvédelmi incidensekről – azok súlyossági kategóriája szerint – tájékoztatást kell adni az Alma Media Oy Data Protection Irodáját.

Alacsony kockázati besorolású incidensről elektronikus levélben legkésőbb az észlelést követő napon.

Közepes kockázati besorolású incidensről elektronikus levélben és sms-ben haladéktalanul.

Magas kockázati besorolású incidensről telefonon vagy személyesen haladéktalanul.

4.5 Válasz az adatvédelmi eseményre

A magas kockázati besorolású incidensek kivizsgálása az egész szervezetnél, illetve az érintett szerződött harmadik feleknél elsődleges prioritást kell, hogy kapjon a normál napi munkához képest.

A kivizsgálásba bevont minden személynek a vizsgálat során tudomására jutott információ üzleti titoknak minősül.

A vizsgálat és az elhárítás során az adatvédelmi tisztviselő javasolhatja a Monster Magyarország mindenkori vezetőjének ideiglenes korlátozó intézkedések bevezetését, illetve az ő akadályoztatása esetén a helyettesítési rend szerinti vezetővel engedélyeztetve. Magas kockázati besorolású incidensek esetén az adatvédelmi tisztviselő azonnali hatállyal is elrendelheti az alábbiakat:

  • egyes felhasználói azonosító(k) deaktiválása, jogosultság visszavonása,
  • külső kapcsolat lezárása,
  • a belső hálózat topológiájának megváltoztatása, vagy
  • rendszerek, szerverek leállítása.

4.6 Bizonyítékok gyűjtése

Az adatvédelmi incidens kivizsgálása során minden érintett köteles a bizonyítékokat rendelkezésre bocsátani, a károk felmérése, a támadás módja, személye vonatkozásában.

A bizonyítékok megőrzése érdekében a kompromittálódott eszközöket nem szabad használni, módosítani, kikapcsolni, de a lehető legjobban le kell választani az érintetlen eszközöktől.

5. A JELEN TÁJÉKOZTATÓ MÓDOSÍTÁSA

Az Adatkezelő fenntartja a jogot, hogy a jelen tájékoztatót bármikor módosítsa. Az Adatkezelő adott esetben e-mailben és minden esetben a vonatkozó jogszabályok szerint tájékoztatja az ügyfeleket az ilyen módosításokról.

Álláskeresés
A Monsterről · A Monster-hálózat · Állások a Monsternél · Workania állások · Budapest állások · AdChoices
Felhasználási feltételek · Adatvédelem · Hozzáférhetőség · Súgó · Biztonság · Kapcsolat · Oldaltérkép · Mobil
©2016 Monster - Minden jog fenntartva - U.S. Patents No. 5,832,497; 7,599,930 B1; 7,827,125 and 7,836,060 MWW - - V: 2018.10.0.34-309