10 millió forint adatvédelmi bírságot kapott a COVID minták eredményeit küldözgető kormányhivatal
Közérdekű bejelentésből indult az ügy
A Nemzeti adatvédelmi és Információszabadság Hatósághoz egy magánszemély emailen keresztül közérdekű bejelentést küldött, amelyhez a bejelentő egy neki továbbított e-mail üzenetet és annak mellékleteként egy Excel táblázatot csatolt. Az e-mailt és táblázatot 2020. április 14-én Budapest Főváros Kormányhivatala, XI. Kerületi Hivatala, Hatósági Főosztály, Népegészségügyi Osztálya küldte meg Budapest XI., XII. és XXII. kerülete valamennyi felnőtt háziorvosa és házi gyermekorvosa részére. Az e-mail üzenet és annak melléklete 1153 sorban tartalmazza meghatározott időszakban vizsgált, budapesti betegek személyes adatait, panaszaikat, vizsgálati eredményüket. Az e-mail megküldésére azért került sor, mivel az egészségügyi szolgáltatók egyéni tájékoztatása a kormányhivatal szerint nem volt biztosítható. A kormányhivatal ezért fel is hívta az eredetileg címzett háziorvosok figyelmét az adatok bizalmas kezelésére. Az Excel fájl hozzáférésvédelemmel (pl. jelszó) nem volt ellátva.
Bepanaszolt: Járványügyi szükséghelyzet indokolta az adatközlést
Az Országos Mentőszolgálat az új koronavírus okozta megbetegedések kimutatására a gyorsteszteket 2020. március 19. napját követően kezdte alkalmazni. A gyorstesztek által kimutatott eredmények továbbításáról 2020. április 8. napja előtt egységes álláspont nem született. A kormányhivatal ezzel összefüggésben arra hivatkozott, hogy a helyzetét az is nehezítette, hogy az érintettek a tesztelés helyszínén azt az információt kapták, hogy az eredménnyel kapcsolatban háziorvosuknál érdeklődhetnek. A háziorvosok viszont a Népegészségügyi Osztályanál érdeklődtek az eredmények iránt. Ennek következtében tehát a háziorvosok érdeklődésére történt meg az egyszeri e-mailes adattovábbítás. A kormányhivatal kiemelte, hogy nem érhette jogsérelem az érintetteket, mivel a járványügyi helyzetben – az arányosság elvére tekintettel – a potenciális fertőzöttek figyelmeztetése, ezáltal a lakosság megóvása nagyobb előnnyel járt, mint az adatok visszatartása a háziorvosoktól. Az kormányhivatal ráadásul fel is hívta a táblázatot megkapó háziorvosok figyelmét arra, hogy a nem a körzetükbe tartozó betegek adatait töröljék. Vállalta végül, hogy felülvizsgálja adattovábbítási gyakorlatát a jövőbeli hasonló incidensek elkerülése érdekében.
NAIH: magas kockázati besorolású adatvédelmi incidens keletkezett
A személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) alapján adatvédelmi incidensnek minősül a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A NAIH kiemelte, hogy a betegadatokat tartalmazó táblázat oly módon történő továbbítása a háziorvosok részére, hogy abban körzetenkénti válogatás nélkül szerepelnek az érintettek adatai adatvédelmi incidenst eredményezett. Ennek oka, hogy a megfelelő és a kockázatokkal arányos biztonsági intézkedések hiánya miatt a nagyszámú érintett egészségügyi adatait tartalmazó adatbázisban szereplő valamennyi adat olyan címzettek számára is megismerhetővé vált, akik egyébként az adatok töredékének (így csak akivel ténylegesen orvos-páciens viszonyban vannak) megismerésére lennének jogosultak. Arra is rámutatott, hogy az intézkedések hiánya egyébként később azt is lehetővé tette, hogy a nagyszámú egészségügyi adatot olyanok is megismerjék, akik egyáltalán nem tartoznak a címzetti körbe (pl. a közérdekű bejelentő magánszemély, vagy a Hatóság). A megfelelő biztonsági intézkedések hiánya és az adatokhoz való jogosulatlan hozzáférések között így közvetlen ok- okozati összefüggés áll fenn.
A hatóság kiemelte, hogy az egészségügyi adatokat érintő adatvédelmi incidens jellemzően magas kockázati besorolású, melyet nem csupán haladéktalanul be kell jelenteni a felügyeleti hatósághoz, hanem az érintettek tájékoztatása is szükséges.
A határozat zárásaként a felügyeleti hatóság azzal érvelt, hogy a járványügyi helyzet nem ad felmentést valamennyi kötelezettség alól. Az adatok körzetek szerinti leválogatása, illetve jelszavas védelem alkalmazása pedig minimálisan elvárható lett volna.
Dr. Kéri Ádám
ügyvéd