A DK a szimpatizánsok adataira nem vigyázott megfelelően

Az adatvédelmi bírság hátterében egy, a DK-hoz tartozó honlap (http://web.dkp.hu) sérülékenysége húzódott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázis-szerverhez hozzáférjen, és onnan adatokat szerezzen, azokat nyilvánosságra hozza. A nyilvánosságra került adatbázis egy 2013-ban valós adatokkal feltöltött tesztrendszer része volt, amely a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve – titkosítva – a belépéshez szükséges jelszót, összesen 11.614 db bejegyzést tartalmazott. Nem ismert, hogy az adatvédelmi incidens konkrétan mikor következett be, arról a DK 2018. augusztus 22-én értesült. Ezt követően a sérülékenységet megszüntette.

NAIH: Különleges adatokat érintett az adatvédelmi incidens

A bírságot kiszabó határozatban a NAIH kiemelte, hogy a GDPR 33. cikke az adatvédelmi incidensek kezelésére pontos eljárást ír elő. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről, melynek célja a további kockázatok megelőzése. Az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell a GDPR-ban előírt információkat és a megtett intézkedéseket. Annak ellenére, hogy a több ezer tagra vonatkozó adatok politikai érintettségükkel összekapcsolva különleges adatnak minősülnek, a DK az adatvédelmi incidenst nem értékelte magas kockázatúnak, és nem tett a NAIH irányában bejelentést. Ez a mulasztása vezetett végül az adatvédelmi bírsághoz.

Kúria: Az incidensbejelentésre már kiterjedt a GDPR hatálya

A DK többek között arra hivatkozott, hogy az adatvédelmi incidens vonatkozásában a 2018. május 25. napjától alkalmazandó GDPR szabályait még nem kell alkalmazni. Az adatvédelmi incidens ugyanis egyértelműen ezen időpontot megelőzően keletkezett. Nem értett továbbá egyet az adatvédelmi incidens minősítésével sem. Úgy érvelt, hogy az adatbázis elavult adatokat tartalmazott, így az illetéktelen személyek általi megismerhetőség nem keletkeztetett magas kockázatot. A Kúria rámutatott arra, hogy a felügyeleti szerv nem az adatbiztonsági, hanem az incidensbejelentési és értesítési szabályok megsértése miatt bírságolta meg a DK-t. Habár az adatvédelmi incidens keletkezésének időpontjában a GDPR valóban nem volt alkalmazható, a tudomásszerzés időpontjában azonban már igen. Ennek következtében a bejelentési és értesítési kötelezettségek nem lettek volna mellőzhetőek. Arra is rámutatott, hogy pusztán az időmúlás nem változtat a különleges adatok érzékeny jellegén. Végezetül nem fogadta el a DK azon érvelését sem, hogy a mérlegelési keretek között kiszabott bírság mértéke nem volt jogszerű. A bíróság ugyanis a mérlegelési jogkörben hozott döntést csak akkor semmisítheti meg, ha az jogszabálysértő. Nincs helye megsemmisítésnek pusztán azon az alapon, hogy egy másik, mérlegelésen alapuló döntés kerüljön elfogadásra. Arra is utalt, hogy a bíróságoknak nem feladata a hatósági gyakorlat elemzése, melyen a hatóság egyebekben bármikor változtathat is. Azt is kiemelte, hogy nem jogszabálysértő a mérlegelésre épülő döntés amiatt, hogy a mérlegelési szempontok közül csupán a relevánsak kerülnek külön is bemutatásra.

Dr. Kéri Ádám

ügyvéd