1. Mi számít adatvédelmi incidensnek?
A GDPR 4. cikk (12) bekezdése alapján adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Példák, amelyek incidensnek minősülhetnek:
- Jogosulatlan hozzáférés a Bokko adatbázisához
- Vendégadatok véletlen törlése vagy sérülése
- Foglalási adatok harmadik fél számára történő véletlenszerű közzététele
- Al-adatfeldolgozó biztonsági eseménye, amely Bokko-adatokat érint
- Rosszindulatú szoftver vagy zsarolóprogram érintkezése éles adatokkal
2. Incidenskezelési folyamat
Belső lépések
- Észlelés és elszigetelés: az incidens azonosítása után azonnal megkezdjük a hatás minimalizálását — hozzáférések felfüggesztése, érintett komponens elkülönítése.
- Vizsgálat és értékelés: meghatározzuk az incidens típusát, az érintett adatok körét és kategóriáját, az érintett személyek hozzávetőleges számát, és a várható kockázatot az érintettekre nézve.
- Dokumentáció: minden incidensről belső nyilvántartást vezetünk — a nem bejelentendő eseményekről is, a GDPR 33. cikk (5) bekezdése alapján.
- Hatósági bejelentés (ahol szükséges): ha az incidens kockázatot jelent az érintettekre, a hatósági bejelentést az észleléstől számított 72 órán belül megtesszük a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság).
- Érintetti értesítés (ahol szükséges): ha az incidens magas kockázatot jelent az érintettekre, közvetlenül értesítjük őket.
- Helyreállítás és utókövetés: a kiváltó ok megszüntetése, szükség esetén a folyamatok javítása.
Hatósági bejelentés küszöbe
A GDPR 33. cikke alapján bejelentési kötelezettség áll fenn, kivéve, ha az incidens valószínűleg nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A kockázatmentes incidenseket is dokumentáljuk, de nem jelentjük be.
3. Értesítési kötelezettségek
Előfizetők (adatkezelők) értesítése
Az előfizetők adatkezelőként járnak el a vendégeik adataival kapcsolatban, a Bokko adatfeldolgozói szerepben van. A GDPR 33. cikk (2) bekezdése alapján az adatfeldolgozó köteles az incidensről indokolatlan késedelem nélkül értesíteni az adatkezelőt.
A Bokko az incidensről az érintett előfizetőket a regisztrált email-címükön értesíti, a következő információkat megadva:
- Az incidens jellege és hozzávetőleges időpontja
- Az érintett adatkategóriák és érintett személyek száma (ha ismert)
- A valószínű következmények
- A megtett vagy tervezett intézkedések
- Kapcsolattartó elérhetősége
Hatósági bejelentés
Az illetékes felügyeleti hatóság a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság). Honlap: naih.hu.
4. Érintetti kérelmek (DSAR)
Ha te mint végfelhasználó (vendég) vagy mint előfizető személyes adataiddal kapcsolatban kérelmet szeretnél benyújtani, az alábbi útmutatót kövesd.
Hová kell írni?
Minden érintetti kérelmet a support@bokko.app címre kell küldeni.
Azonosítás
A kérelem teljesítéséhez azonosítanunk kell, hogy valóban az a személy kérelmet benyújtó, akinek az adataira a kérelem vonatkozik. Ehhez kérhetünk:
- A kérelemben megadott email-cím megerősítését (visszaigazoló email)
- A foglaláshoz vagy fiókhoz kapcsolódó azonosítót (ha van)
- Személyes okmányt csak akkor kérünk, ha a személyazonosság más módon nem állapítható meg
Határidők
| Kérelem típusa | Teljesítési határidő | Meghosszabbítás |
|---|---|---|
| Hozzáférési kérelem (másolat kiadása) | 1 hónapon belül | Összetett esetben max. 2 hónapra, tájékoztatással |
| Törlési kérelem | 1 hónapon belül | Megőrzési kötelezettség esetén dokumentált kivétel |
| Helyesbítési kérelem | 1 hónapon belül | — |
| Hordozhatósági kérelem (adatkivitel) | 1 hónapon belül | — |
| Adatkezelés korlátozásának kérelme | 1 hónapon belül | — |
Hatókör — vendégek vs. előfizetők
A Bokko adatfeldolgozóként kezeli a vendégadatokat az előfizető nevében. Ha vendégként nyújtasz be kérelmet, azt az érintett előfizetőhöz (szalonhoz) is továbbítjuk, mivel ők az elsődleges adatkezelők. Ha a Bokko saját adatkezelőként kezeli az adataidat (pl. regisztrált előfizető fiókja), a kérelmet közvetlenül teljesítjük.
5. Érintetti jogok összefoglalója
| Jog | GDPR cikk | Lényege |
|---|---|---|
| Hozzáférés joga | 15. cikk | Visszaigazolás, hogy kezelünk-e adatot; másolat kérése |
| Helyesbítés joga | 16. cikk | Pontatlan vagy hiányos adatok javítása |
| Törlés joga (elfeledtetés) | 17. cikk | Adatok törlése, ha az adatkezelési cél megszűnt |
| Korlátozás joga | 18. cikk | Adatkezelés felfüggesztése, ha vitatod a pontosságát vagy jogszerűségét |
| Hordozhatóság joga | 20. cikk | Géppel olvasható formátumú adatkivitel kérése |
| Tiltakozás joga | 21. cikk | Jogos érdeken alapuló adatkezelés ellen tiltakozás |
| Automatizált döntéshozatal alóli mentesség | 22. cikk | Emberi beavatkozás kérése automatizált döntés esetén |
Részletes leírás: Adatkezelési tájékoztató
6. Kapcsolat
Érintetti kérelmek, incidensbejelentés és adatvédelmi kérdések: support@bokko.app
Felügyeleti hatóság: NAIH — naih.hu