Csillagászati mértékű bírság járhat adatbiztonsági kötelezettségszegés esetén

2019. április 23. 14:46
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyre több határozatot hoz, melyek már a 2018. május 25. napjával alkalmazandóvá vált Általános Adatvédelmi Rendeletre (GDPR) épülnek. Ezen döntések között több olyan is található, melyben a hatóság az adatbiztonsági kötelezettségek megsértése okán szabott ki adatvédelmi bírságot. Érdemes tehát végigvenni azon szempontokat, melyekre különösképpen ügyelni szükséges.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyre több határozatot hoz, melyek már a 2018. május 25. napjával alkalmazandóvá vált Általános Adatvédelmi Rendeletre (GDPR) épülnek. Ezen döntések között több olyan is található, melyben a hatóság az adatbiztonsági kötelezettségek megsértése okán szabott ki adatvédelmi bírságot. Érdemes tehát végigvenni azon szempontokat, melyekre különösképpen ügyelni szükséges.

Szigorú szankciók, általános követelményrendszer

A GDPR esetjogi alapokra épül, hiszen több tucat tagállam számára határoz meg kötelező szabályrendszert. Ennek következtében az egyes kötelezettségek jellemzően általánosak, s az adatkezelők/adatfeldolgozók feladata ezen szabályok testre szabása, magukra alkalmazása.

Elsőként definiáljuk az adatvédelmi incidens fogalmát. Az adatvédelmi incidens a 4. cikk alapján a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

A 32. cikk pedig azt mutatja be, hogy az egyes szereplőknek milyen általános kötelezettségei vannak. E szerint az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ilyen intézkedésnek minősíti a rendelet a személyes adatok álnevesítését és titkosítását, a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét, fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani, valamint az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Nézzük ezen szabályok sérelme a gyakorlatban miképpen jelentkezik:

 

Amikor az ügyfél téves email címet adott a szolgáltatónak

Az egyik – még a GDPR alkalmazhatóvá válását megelőző - jogesetben az adatvédelmi incidens kiváltó oka az volt, hogy az ügyfél a szolgáltató számára téves email címet adott meg, mely pechére egy ténylegesen létező személyhez tartozott. A szolgáltató ezt követően a szerződés tervezetét a megadott – más személyhez tartozó – email címre meg is küldte. A címzett észlelvén a történést megkereste a hatóságot és jelezte, hogy másnak szánt küldeményt kapott. A hatóság a vizsgálatot lezáró döntésében elmarasztalta a szolgáltatót arra hivatkozva, hogy egyrészt a személyes adatok pontosságát, naprakészségét köteles ellenőrizni, másrészt köteles megfelelő intézkedéseket tenni mielőtt személyes adatokat tartalmazó dokumentumot küld ki. Tekintettel azonban arra, hogy az emailcímet nem ellenőrizte le, így még akkor is az ő terhére esik az adatvédelmi incidens bekövetkezése, amennyiben azt részben az ügyfele közreható magatartása idézte elő. Indoklásában utal arra, hogy a téves emailcímet megadó ügyfél bizonyos következményekkel számolhat félrevezető adatközlése okán, azzal azonban nem kellett számolnia, hogy személyes adatait az adatkezelő szolgáltató harmadik félnek küldi meg. A szolgáltató a szerződéstervezet kiküldésével nem vette figyelembe az adattovábbításhoz kapcsolódó speciális kockázatot.

Amikor a közérdekű bejelentést a bejelentő adataival a bepanaszoltnak megküldték

Egy másik esetben az incidens egy közérdekű bejelentés kezeléséhez kapcsolódott. Az egyik önkormányzat ugyanis valamely felügyelt intézményéből annak működésére vonatkozó bejelentést kapott, melynek kivizsgálását haladéktalanul meg is kezdte. Adatközlésre kérte az irányított intézményt, mely hasonlóképpen adatszolgáltatást kért a vizsgálatához, hogy a problémát beazonosítsa. A túlbuzgó önkormányzati ügyintéző azonban a közérdekű bejelentést a bejelentő személyes adataival együtt küldte meg, melynek következtében a bejelentő munkaviszonya azonnali hatállyal megszüntetésre került. Az önkormányzat az adatvédelmi incidenst haladéktalanul jelezte a hatóságnak, mely megállapította, hogy az adattovábbítás sértette a jogszerűség, tisztességesség és célhoz kötöttség követelményeit, illetve megfelelő jogalap nélkül történt. Ennek következtében személyes adat kerül jogosultan személyekhez. Azt is kiemelte, hogy az adatvédelmi incidens magas kategóriába tartozik, hiszen annak következtében a bejelentő jogviszonya megszüntetésre került.

Amikor a Jármű Szolgáltatási Platform (JSZP) szivárogtatott adatokat

Ebben az esetben az incidens hátterében egy nem kellően végiggondolt adatkezelési rendszer/folyamat állt. A JSZP lehetőséget biztosított arra, hogy a gépjármű rendszáma alapján a gépjárműhöz kapcsolódó alapvető adatok lekérdezhetőek legyenek. A gépjármű adatai között azonban feltűntetésre kerültek a korábbi tulajdonosok személyes adatai, valamint a műszaki vizsgáról készült fényképeken személyek is láthatóak voltak. A hatóság megállapította a magas kockázattal járó adatvédelmi incidens bekövetkeztét, melynek szintjét a személyazonosságlopáshoz alkalmas személyes adatok „kikerülése”, azaz a jogosulatlan nyilvánosságra hozatala, illetve jogosulatlan hozzáférése alapozta meg. Ezen túlmenően kötelezte az adatkezelőt a GDPR rendelkezéseiből következő tájékoztatás megadására is.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Dunaferr-ügy: „Ha alapvető törvényes dolgok nincsenek rendben, vajon mi zajlik bent a gyárban?”

2021. április 23. 08:12
A közel 10 ezer dolgozó is csak annyit látott a történtekből, mint bárki más

Végleg betiltották az avarégetést: ezzel a 4 módszerrel szabadulhatsz meg a kerti hulladéktól

2020. szeptember 02. 08:18
Sajnos a lehullott levelekre máig szemétként tekint a kerttulajdonosok jó része, holott számos módon lehet hasznosítani őket, többek között mulcsként, komposztként vagy gyeptrágyaként. Mutatjuk, mit tegyél velük!