Jogerős lett a DK-ra kiszabott adatvédelmi bírság

2020. szeptember 15. 10:56
A Nemzeti Adatvédelmi és Információszabadság Hatóság döntésében a Demokratikus Koalíciót (DK) annak adatvédelmi incidenskezelési gyakorlata miatt elmarasztalta, és vele szemben 11.000.000,-Ft adatvédelmi bírságot szabott ki. A DK a döntést megtámadta, a Kúria azonban a határozatot helybenhagyta. Az alábbiakban az eljárás fontosabb elemeit mutatjuk be:
Jogerős lett a DK-ra kiszabott adatvédelmi bírság

A DK a szimpatizánsok adataira nem vigyázott megfelelően

Az adatvédelmi bírság hátterében egy, a DK-hoz tartozó honlap (http://web.dkp.hu) sérülékenysége húzódott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázis-szerverhez hozzáférjen, és onnan adatokat szerezzen, azokat nyilvánosságra hozza. A nyilvánosságra került adatbázis egy 2013-ban valós adatokkal feltöltött tesztrendszer része volt, amely a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve – titkosítva – a belépéshez szükséges jelszót, összesen 11.614 db bejegyzést tartalmazott. Nem ismert, hogy az adatvédelmi incidens konkrétan mikor következett be, arról a DK 2018. augusztus 22-én értesült. Ezt követően a sérülékenységet megszüntette.

 

NAIH: Különleges adatokat érintett az adatvédelmi incidens

A bírságot kiszabó határozatban a NAIH kiemelte, hogy a GDPR 33. cikke az adatvédelmi incidensek kezelésére pontos eljárást ír elő. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, melynek célja a további kockázatok megelőzése. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a GDPR-ban előírt információkat és a megtett intézkedéseket. Annak ellenére, hogy a több ezer tagra vonatkozó adatok politikai érintettségükkel összekapcsolva különleges adatnak minősülnek, a DK az adatvédelmi incidenst nem értékelte magas kockázatúnak, és nem tett a NAIH irányában bejelentést. Ez a mulasztása vezetett végül az adatvédelmi bírsághoz.

 

Kúria: Az incidensbejelentésre már kiterjedt a GDPR hatálya

A DK többek között arra hivatkozott, hogy az adatvédelmi incidens vonatkozásában a 2018. május 25. napjától alkalmazandó GDPR szabályait még nem kell alkalmazni. Az adatvédelmi incidens ugyanis egyértelműen ezen időpontot megelőzően keletkezett. Nem értett továbbá egyet az adatvédelmi incidens minősítésével sem. Úgy érvelt, hogy az adatbázis elavult adatokat tartalmazott, így az illetéktelen személyek általi megismerhetőség nem keletkeztetett magas kockázatot. A Kúria rámutatott arra, hogy a felügyeleti szerv nem az adatbiztonsági, hanem az incidensbejelentési és értesítési szabályok megsértése miatt bírságolta meg a DK-t. Habár az adatvédelmi incidens keletkezésének időpontjában a GDPR valóban nem volt alkalmazható, a tudomásszerzés időpontjában azonban már igen. Ennek következtében a bejelentési és értesítési kötelezettségek nem lettek volna mellőzhetőek. Arra is rámutatott, hogy pusztán az időmúlás nem változtat a különleges adatok érzékeny jellegén. Végezetül nem fogadta el a DK azon érvelését sem, hogy a mérlegelési keretek között kiszabott bírság mértéke nem volt jogszerű. A bíróság ugyanis a mérlegelési jogkörben hozott döntést csak akkor semmisítheti meg, ha az jogszabálysértő. Nincs helye megsemmisítésnek pusztán azon az alapon, hogy egy másik, mérlegelésen alapuló döntés kerüljön elfogadásra. Arra is utalt, hogy a bíróságoknak nem feladata a hatósági gyakorlat elemzése, melyen a hatóság egyebekben bármikor változtathat is. Azt is kiemelte, hogy nem jogszabálysértő a mérlegelésre épülő döntés amiatt, hogy a mérlegelési szempontok közül csupán a relevánsak kerülnek külön is bemutatásra.

 

Dr. Kéri Ádám

ügyvéd

 

 

Kapcsolódó cikkek

Karrierváltás cégen belül

2019. október 14. 09:29
"Az új pozíció más nézőpontot is hoz magával, amikor előfordulhat, hogy addig örök igazságnak tartott dolgokat kénytelen az ember megkérdőjelezni" - mondja Bek-Balla László. Ő HR igazgatóból az Erste Bank Digitális Csatornák és Contact Center területének vezetője lett. Mai cikkünkben olyan HR vezetőket mutatunk be, akik cégen belül maradtak, de más pozíciót töltenek be, amihez ugyanúgy, ahogy a vállalkozásba kezdőknek, új ismereteket kellett szerezniük, és elhagyni addigi komfortzónájukat.

Úgy érzi, nincs értelme a szombati munkanapnak? Utánajártunk, így van-e

2019. augusztus 09. 07:55
Van bármi értelme egy szombati munkanapnak? Sokaknak fog eszükbe jutni ez a kérdés hétvégén, amikor az augusztus 19-i, hétfői nap helyett kell bemenni munkába. Gyakran próbálnak számolgatni, mennyit ér egyetlen ledolgozott nap, és ennek nem nagyon örülnek a statisztikusok.