1. Mi számít adatvédelmi incidensnek?
A GDPR 4. cikk (12) bekezdése alapján adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Példák, amelyek incidensnek minősülhetnek:
- Jogosulatlan hozzáférés a Bokko adatbázisához
- Vendégadatok véletlen törlése vagy sérülése
- Foglalási adatok harmadik fél számára történő véletlenszerű közzététele
- Al-adatfeldolgozó biztonsági eseménye, amely Bokko-adatokat érint
- Rosszindulatú szoftver vagy zsarolóprogram érintkezése éles adatokkal
2. Incidenskezelési folyamat
Belső lépések
- Észlelés és elszigetelés: az incidens azonosítása után azonnal megkezdjük a hatás minimalizálását — hozzáférések felfüggesztése, érintett komponens elkülönítése.
- Vizsgálat és értékelés: meghatározzuk az incidens típusát, az érintett adatok körét és kategóriáját, az érintett személyek hozzávetőleges számát, és a várható kockázatot az érintettekre nézve.
- Dokumentáció: minden incidensről belső nyilvántartást vezetünk — a nem bejelentendő eseményekről is, a GDPR 33. cikk (5) bekezdése alapján.
- Hatósági bejelentés (ahol Bokko adatkezelőként jár el): ha az incidens kockázatot jelent az érintettekre, és a Bokko önálló adatkezelőként járt el (pl. előfizetői platform-fiókok), a hatósági bejelentést az észleléstől számított 72 órán belül megtesszük a NAIH-nak. Ha a Bokko adatfeldolgozóként járt el (vendégfoglalási adatok), az előfizetőt értesítjük indokolatlan késedelem nélkül — ld. 3. pont.
- Érintetti értesítés (ahol szükséges): ha az incidens magas kockázatot jelent az érintettekre, közvetlenül értesítjük őket.
- Helyreállítás és utókövetés: a kiváltó ok megszüntetése, szükség esetén a folyamatok javítása.
Hatósági bejelentés küszöbe
A GDPR 33. cikke alapján bejelentési kötelezettség áll fenn, kivéve, ha az incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A kockázatmentes incidenseket is dokumentáljuk, de nem jelentjük be.
3. Értesítési kötelezettségek
Előfizetők (adatkezelők) értesítése
Az előfizetők adatkezelőként járnak el a vendégeik adataival kapcsolatban, a Bokko adatfeldolgozói szerepben van. A GDPR 33. cikk (2) bekezdése alapján az adatfeldolgozó köteles az incidensről indokolatlan késedelem nélkül értesíteni az adatkezelőt.
A Bokko az incidensről az érintett előfizetőket a regisztrált email-címükön értesíti, a következő információkat megadva:
- Az incidens jellege és hozzávetőleges időpontja
- Az érintett adatkategóriák és érintett személyek száma (ha ismert)
- A valószínű következmények
- A megtett vagy tervezett intézkedések
- Kapcsolattartó elérhetősége
Hatósági bejelentés
Az illetékes felügyeleti hatóság a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság). Honlap: naih.hu.
Szerepör-megosztás: A vendégfoglalási adatokat érintő incidensnél a NAIH-nak történő hatósági bejelentés az adatkezelő (Őfizető) kötelezettsége (GDPR 33. cikk). A Bokko adatfeldolgozóként az Őfizetőt értesíti indokolatlan késedelem nélkül, hogy az Őfizető meg tudja tenni a hatósági bejelentést a 72 órás határidőn belül.
4. Érintetti kérelmek (DSAR)
Ha te mint végfelhasználó (vendég) vagy mint előfizető személyes adataiddal kapcsolatban kérelmet szeretnél benyújtani, az alábbi útmutatót kövesd.
Hová kell írni?
Minden érintetti kérelmet a support@bokko.app címre kell küldeni.
Azonosítás
A kérelem teljesítéséhez azonosítanunk kell, hogy valóban az a személy kérelmet benyújtó, akinek az adataira a kérelem vonatkozik. Ehhez kérhetünk:
- A kérelemben megadott email-cím megerősítését (visszaigazoló email)
- A foglaláshoz vagy fiókhoz kapcsolódó azonosítót (ha van)
- Személyes okmányt csak akkor kérünk, ha a személyazonosság más módon nem állapítható meg
Határidők
| Kérelem típusa | Teljesítési határidő | Meghosszabbítás |
|---|---|---|
| Hozzáférési kérelem (másolat kiadása) | 1 hónapon belül | Összetett esetben max. 2 hónapra, tájékoztatással |
| Törlési kérelem | 1 hónapon belül | Megőrzési kötelezettség esetén dokumentált kivétel |
| Helyesbítési kérelem | 1 hónapon belül | — |
| Hordozhatósági kérelem (adatkivitel) | 1 hónapon belül | — |
| Adatkezelés korlátozásának kérelme | 1 hónapon belül | — |
Hatókör — vendégek vs. előfizetők
A Bokko adatfeldolgozóként kezeli a vendégadatokat az előfizető nevében. Ha vendégként nyújtasz be kérelmet, azt az érintett előfizetőhöz (szolgáltatóhoz) is továbbítjuk, mivel ők az elsődleges adatkezelők. Ha a Bokko saját adatkezelőként kezeli az adataidat (pl. regisztrált előfizető fiókja), a kérelmet közvetlenül teljesítjük.
5. Érintetti jogok összefoglalója
| Jog | GDPR cikk | Lényege |
|---|---|---|
| Hozzáférés joga | 15. cikk | Visszaigazolás, hogy kezelünk-e adatot; másolat kérése |
| Helyesbítés joga | 16. cikk | Pontatlan vagy hiányos adatok javítása |
| Törlés joga (elfeledtetés) | 17. cikk | Adatok törlése, ha az adatkezelési cél megszűnt |
| Korlátozás joga | 18. cikk | Adatkezelés felfüggesztése, ha vitatod a pontosságát vagy jogszerűségét |
| Hordozhatóság joga | 20. cikk | Géppel olvasható formátumú adatkivitel kérése |
| Tiltakozás joga | 21. cikk | Jogos érdeken alapuló adatkezelés ellen tiltakozás |
| Automatizált döntéshozatal alóli mentesség | 22. cikk | Emberi beavatkozás kérése automatizált döntés esetén. A Bokko jelenleg nem végez GDPR 22. cikk szerinti, jogi hatállyál járó kizárólag automatizált döntéshozatalt — részletek: AI és automatizált feldolgozás. |
Részletes leírás: Adatkezelési tájékoztató
6. Kapcsolat
Érintetti kérelmek, incidensbejelentés és adatvédelmi kérdések: support@bokko.app
Felügyeleti hatóság: NAIH — naih.hu