Type something to search...
to navigateto selectESC to close

Adatvédelmi incidens bejelentése

Az adatvédelmi incidens bejelentése egy jogi kötelezettség, amely előírja, hogy tájékoztatni kell a felügyeleti hatóságokat, és bizonyos esetekben az érintett személyeket, amikor személyes adatok biztonsági incidens következtében veszélybe kerültek. A GDPR alapján az adatkezelőknek 72 órán belül értesíteniük kell a felügyeleti hatóságot, miután tudomást szereztek egy olyan incidensről, amely kockázatot jelent az emberek jogaira és szabadságaira nézve, és közvetlenül értesíteniük kell az érintett személyeket, ha az incidens magas kockázatot jelent.

Jogi alapok

„Személyes adatok megsértése esetén az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy tudomására jutott, bejelenti a személyes adatok megsértését az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve."

— (EU) 2016/679 rendelet (GDPR) 33. cikk (1) bekezdés

„Ha a személyes adatok megsértése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről."

— (EU) 2016/679 rendelet (GDPR) 34. cikk (1) bekezdés

Miért fontos

Az adatvédelmi incidens bejelentési kötelezettség minden olyan szervezetet érint, amely személyes adatokat kezel politikai reklámszolgáltatások keretében. A 2024/900 rendelet szerinti szponzorok, közzétevők és politikai reklámszolgáltatók számára ez azt jelenti, hogy bármilyen jogosulatlan hozzáférést, az adatok elvesztését vagy módosítását, amely a célzáshoz vagy hirdetéskézbesítéshez használt személyes adatokat érinti, haladéktalanul be kell jelenteni az illetékes adatvédelmi hatóságnak.

A 72 órás bejelentési határidő szigorú, és attól kezdődik, amikor a szervezet tudomást szerez az incidensről, nem pedig amikor befejezi a kivizsgálását. A szervezeteknek rendelkezniük kell olyan belső folyamatokkal, amelyek lehetővé teszik az incidensek gyors észlelését, kivizsgálását és bejelentését. A bejelentés elmulasztása a GDPR alapján akár 10 millió euróig terjedő vagy a globális éves forgalom 2%-áig terjedő bírsággal sújtható.

A politikai reklámozás esetében különösen érzékenyek azok az incidensek, amelyek célzási adatokat, szavazói profilokat vagy politikai preferenciákat érintenek. Ezek az incidensek manipulációnak, hátrányos megkülönböztetésnek vagy megtorlásnak tehetik ki az egyéneket, így az időben történő bejelentés kritikus fontosságú a demokratikus folyamatok és az egyéni jogok védelme szempontjából.

Kulcsfontosságú pontok

  • Az adatkezelőknek 72 órán belül értesíteniük kell a felügyeleti hatóságot, miután tudomást szereztek az incidensről, kivéve, ha az incidens valószínűsíthetően nem jelent kockázatot az egyének jogaira és szabadságaira
  • Ha az incidens magas kockázatot jelent az egyénekre nézve, őket közvetlenül, indokolatlan késedelem nélkül értesíteni kell
  • A bejelentéseknek tartalmazniuk kell az incidens jellegének leírását, az érintett személyek és nyilvántartások kategóriáit és hozzávetőleges számát, valamint az incidens kezelése érdekében tett intézkedéseket
  • Az adatfeldolgozóknak azonnal értesíteniük kell az adatkezelőket, amint felfedeznek egy incidenst, hogy az adatkezelők teljesíthessék saját bejelentési határidejüket
  • A szervezeteknek dokumentálniuk kell minden incidenst, beleértve azokat is, amelyeket nem jelentettek be, a megfelelés bizonyítása érdekében
  • A bejelentés elmulasztása miatt kiszabható szankció elérheti a 10 millió eurót vagy a globális éves forgalom 2%-át, attól függően, hogy melyik a magasabb

Adatvédelmi incidens bejelentése vs. átláthatósági tájékoztatás

Bár mindkettő közzétételi kötelezettségeket foglal magában, az adatvédelmi incidens bejelentése és az átláthatósági tájékoztatás különböző célokat szolgálnak. Az adatvédelmi incidens bejelentése egy reaktív, eseményvezérelt követelmény, amelyet a személyes adatok biztonságának veszélyeztetése vált ki. A felügyeleti hatóságokhoz 72 órán belül, az érintett személyekhez pedig magas kockázat esetén kell eljuttatni.

Az átláthatósági tájékoztatás (például a GDPR 13-14. cikke szerinti adatvédelmi tájékoztató vagy a 2024/900 rendelet szerinti politikai reklámozásra vonatkozó átláthatósági tájékoztatás) egy proaktív, folyamatos kötelezettség, amely arról tájékoztatja az egyéneket, hogyan kezelik adataikat az adatgyűjtés előtt vagy annak időpontjában. Az átláthatósági tájékoztatások megelőző jellegűek és informatívak; az incidensbejelentések orvosló jellegűek és sürgősek.

Szempont Adatvédelmi incidens bejelentése Átláthatósági tájékoztatás
Kiváltó ok Biztonsági incidens Adatgyűjtés/adatkezelés
Időzítés 72 óra (hatóságnak) Gyűjtés előtt/gyűjtéskor
Címzettek Hatóság + érintett személyek Minden érintett
Cél Incidenskezelés Folyamatos átláthatóság

Kapcsolódó fogalmak

  • Személyes adat
  • Adatvédelmi hatóság
  • Adatkezelő
  • Adatfeldolgozó
  • GDPR megfelelőség
  • Célzási technikák
  • Biztonsági intézkedések
  • Felügyeleti hatóság
  • Adatvédelmi tájékoztató
  • Érintetti jogok

Adatvédelmi incidens bejelentése: Core Facts

Status
Active Definition
Verified
2026-03-07

Related

Igen. Uniós rendeletként a TTPA közvetlenül alkalmazandó minden tagállamban anélkül, hogy nemzeti átültetésre lenne szükség. A tagállamoknak csak hatóságokat kell kijelölniük és szankciókat kell megállapítaniuk.
Az átláthatósági követelmények biztosítják, hogy minden politikai szereplő ugyanazon szabályok szerint működjön. A választók láthatják, hogy ki rendelkezik erőforrásokkal és hogyan használják azokat, ezzel támogatva a tisztességes versenyt.
Az átláthatóság bizalmat épít azzal, hogy megmutatja a választóknak, hogy a politikai szereplők nyíltan működnek. A rejtett finanszírozás vagy célzás aláássa a demokratikus folyamatokba vetett bizalmat.
Az egyértelmű jelölés és hozzáférhető átláthatósági információk előírásával a TTPA segít az embereknek felismerni a politikai hirdetéseket és megérteni, hogy ki próbálja őket befolyásolni.
A politikai hirdetés magában foglal minden olyan fizetett üzenetet, amely politikai szereplőt népszerűsít, a szavazói magatartást befolyásolja, a választások vagy népszavazások kimenetelét érinti, vagy jogalkotási vagy szabályozási folyamatokat befolyásol. Ide tartozik továbbá minden olyan hirdetés is, amelyet politikai szereplő ad fel vagy amelyet politikai szereplő nevében adnak fel.
Nem. A TTPA nem érinti a politikai hirdetések tartalmára, a kampányfinanszírozásra, a választási időszakokra vagy a politikai reklámozásra vonatkozó általános tilalmakra vonatkozó nemzeti szabályokat. A meglévő nemzeti jogszabályokon felül átláthatósági követelményeket ír elő.
A hivatalos elnevezése: Az Európai Parlament és a Tanács (EU) 2024/900 rendelete a politikai hirdetések átláthatóságáról és célzásáról. 2024. március 20-án került kihirdetésre.
Igen. A TTPA minden politikai hirdetésre vonatkozik, függetlenül attól, hogy online vagy offline formában jelenik meg, beleértve a nyomtatott sajtót, óriásplakátokat, televíziót, rádiót és digitális csatornákat. A III. fejezetben szereplő célzási szabályok kizárólag az online hirdetésekre vonatkoznak.