Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH 2,5 millió forintos adatvédelmi bírságot szabott ki a Honvédkórházra, mert nem kezelte megfelelően és nem jelentette be az adatvédelmi incidenst, illetve 200.000,- forintra bírságolta az Origo hírportált, mert nem válaszolt a hatósági megkeresésre.
Az alapügy
Demeter Márta országgyűlési képviselő azért fordult panasszal a NAIH-hoz, mert az origo.hu internetes portálon 2019. február 12-én, majd 13-án megjelentkét cikkben nyilvánosságra hozták, hogy a képviselő korábban ún. VIP belépőt igényelt a Magyar Honvédség Egészségügyi Központba. A portál nyilvánosságra hozta a képviselő által beadott igénylőlap szkennelt változatát is, amelyen azonban a nevén kívül a további személyes adatok kitakarásra kerültek. A panaszbeadvány szerint az igénylőlapot a képviselő korábban sehol sem hozta nyilvánosságra, azt kizárólag a Magyar Honvédség Egészségügyi Központjának (MHEK) küldte meg elektronikusan, szkennelt formában. A képviselő nyilatkozata és általa csatolt e-mailek szerint az igénylőlapot 2017. július 24-én küldte meg az MHEK e-mail címére.
A panaszbeadvány kapcsán a NAIH további adatok szolgáltatására hívta fel a panaszost. A panaszos válaszának beérkezése után a NAIH megszüntette a vizsgálati eljárást, és hivatalból hatósági ellenőrzést indított az ügyben, egyben nyilatkozattételre és iratszolgáltatásra hívta fel a Honvédelmi Minisztériumot (HM).
Az HM mint az MHEK fenntartója a sajtóhírek alapján a panasszal érintett incidenssel kapcsolatban már 2019. február 14-én eseti adatvédelmi ellenőrzést rendelt el. A HM az esetet már ekkor adatvédelmi incidensként értékelte, feltéve, hogy az igénylőlap az MHEK kezeléséből került ki és így jutott el a sajtóorgánumhoz.
A HM az ellenőrzés során megállapította, hogy a dokumentumot e-mailben közvetlenül az MHEK Igényjogosulti Referatúra munkatársa kapta meg. Itt az ellenőrzés időpontjában két munkatárs dolgozott, akik a dokumentumot megismerhették. Ezen kívül az ellenőrzés során megállapításra került, hogy 2019. február 11-én az MHEK parancsnoka –több egyéb dokumentummal együtt –felkérte az MHEK Igényjogosulti Referatúrától az ügy tárgyát képező dokumentum kinyomtatott példányát. A dokumentum fizikailag az MHEK Kórlaptárjában volt, innen került fel a parancsnokhoz. A kórlaptár az Ügyfél telephelyén található zárt helyiség, melynek kulcsa zárt kulcsdobozban a 24 órás őrség szolgálati helyiségében lelhető fel és ahhoz csak meghatározott személyek dokumentáltan férhetnek hozzá. Összességében tehát megállapítható, hogy a panaszos igénylőlapjához az MHEK Igényjogosulti Referatúra és az MHEK parancsnoka férhetett hozzá. Az ellenőrzés során a HM azt, hogy ezek után a dokumentum hogyan került ki az MHEK kezeléséből és került a sajtóorgánumhoz nem tudta megállapítani.
A HM nyilatkozata szerint a jelen esetben az adatkezelő egyedül az MHEK, mivel önálló jogi személyként, önálló adatkezelőként működő honvédségi szervezet, amely nem része a HM-nek.
Az MHEK a NAIH megkeresésére adott válaszában közölte, hogy az adatvédelmi incidrensről a sajtószemléjéből és egy közérdekű adatigénylésből értesült, de nincs tudomása a személyi állománya adatvédelmi incidenst megvalósító cselekményéről. Az igénylőlap nyilvánosságra kerülésével kapcsolatban megvalósult adatvédelmi incidens, azonban annak az érintett magánszférájára jelentett kockázata az MHEK álláspontja szerint alacsony. A HM által elrendelt adatvédelmi ellenőrzés megállapításai tükrében tervezi az MHEK, az igényjogosultak nyilvántartásával összefüggő feladatok, adatkezelések felülvizsgálatát. Az MHEK közölte továbbá, hogy az incidens a GDPR 33. cikk (5) bekezdése szerinti nyilvántartásba vételére nem került sor.
Az MHEK az igénylőlapokon található személyes adatok biztonságával kapcsolatban alkalmazott intézkedésekről is tájékoztatta a NAIH-ot: Ezserint az Igényjogosulti Referatúra irodája, továbbá az összes olyan helyiség, ahol az igénylőlapokat érintő ügymenettel összefüggő irat-és adatkezelés folyik, az ott dolgozó munkatársak felügyelete alatt áll munkaidőben. Munkaidőn túl, illetve a munkaidő azon szakaszában, amikor ügyintéző nem tartózkodik a helyiségben, az iroda kulccsal bezárásra kerül. A kulcsok felvétele kulcsdoboz nyilvántartással ellenőrizhető. Az iratokat és elektronikus adathordozókat a munkaidő végeztével el kell zárni a zárható irodabútorokba (amennyiben elegendő zárható bútor áll rendelkezésre). Az Igényjogosulti Referatúra irodahelyiségében egyszerre csak egy ügyfél tartózkodhat. A monitorok úgy kerültek elhelyezésére, hogy arra illetéktelen személy ne lásson rá. A munkaállomásokra a belépés egyéni felhasználónévvel és ahhoz tartozó jelszóval történik, a számítógépeken központilag képernyőzár került beállításra. Munkahelyi elektronikus levelezésre kizárólag a honvédségi levelezőrendszert használhatják a munkatársak.
A HM előírta továbbá az MHEK számára, hogy a kérelem beadására szolgáló űrlapokat adatkezelési tájékoztatóval szükséges ellátni. Továbbá a Kórlaptárba leadott dokumentumok mozgását tartalmazó nyilvántartást szükséges bevezetni és zárhatóvá kell tenni az azok tárolására használt szekrényt. Ezen felül az igényjogosulti kérelmeket is az ügyviteli nyilvántartásban kell vezetni a személyes adatok kezelésére vonatkozó általános szabályok szerint, mivel azok önmagukban nem minősülnek egészségügyi dokumentációnak. Ezen intézkedések megtételét a HM haladéktalanul rendelte el, kivéve az adatkezelési tájékoztató elkészítését, amelyre 2019. május 31-i határidőt jelölt meg.
A NAIH ezirányú kérdésére az Ügyfél közölte, hogy az incidens kockázati besorolása („alacsony”) során azt vette figyelembe, hogy az kizárólag egy személyt érint, továbbá az origo.hu részlegesen anonimizált formában hozta nyilvánosságra az igénylőlapot, mivel azon csak az érintett neve volt olvasható. Az incidens kapcsán ezért csak a panaszos neve és azon tény került nyilvánosságra, hogy kérelmet nyújtott be az MHEK Honvédkórház, Speciális Rendeltetésű Centrum ellátásának igénylése érdekében. Ezen adatok közül egyik sem minősül az általános adatvédelmi rendelet 9. cikk (1) bekezdése alapján különleges adatnak. Az érintett nevén kívül más azonosító adat nem került nyilvánosságra, így a személyazonossággal való visszaélés lehetősége kizárható.
Ezen felül a panaszos más, az igénylőlapon megtalálható, de a sajtóorgánum által anonimizált adatai közül a legtöbb nyilvánosan megtalálható az interneten. Az Ügyfél a fentieken túl azonban maga is úgy nyilatkozott, hogy a nyilvánosságra került adatok véleménye szerint nem tartoznak a közérdekből nyilvános adat kategóriájába, mivel annak megítélése, hogy a panaszos közfeladatának (országgyűlési képviselő) ellátásával kapcsolatban keletkeztek-e nem egyértelmű.
Az MHEK az eset a GDPR 33. cikk (5) bekezdése szerinti incidens-nyilvántartásban való rögzítésének elmaradásával kapcsolatban arra hivatkozott, hogy a Hatóság hatósági ellenőrzésének megindulása előtt nem vizsgálta, hogy az igénylőlap kikerülésével kapcsolatban bekövetkezett-e adatvédelmi incidens. Az incidens nyilvántartásba vétele azonban később, 2019. április 24-én megtörtént, a HM által lefolytatott ellenőrzés megállapításainak tükrében.
A NAIH tényállástisztázó levelére válaszul az MHEK tájékoztatta a Hatóságot, hogy az Igényjogosulti Referatúrán rendszeresített kérelem űrlapokhoz elkészült a kért adatvédelmi tájékoztató. Az iratok biztonságos tárolása érdekében a Kórlaptárban elhelyezett iratanyag egy része ismét az Igényjogosulti Referatúrán, zárható szekrényben került elhelyezésre, ezen felül a Kórlaptárban maradt dokumentumok biztonságos elhelyezése érdekében egy szekrényt zárhatóvá tettek. Az iratok intézményen belüli mozgásának nyomon követésére mindkét helyiségben ezen felül nyilvántartás került felfektetésre.Az igényjogosulti kérelmekkel kapcsolatban továbbá nyilvántartási számmal ellátott papír alapú iktatólapok kerültek bevezetésre.
A NAIH kérdésére az MHEK azt is közölte, hogy csak tervezet formájában rendelkezik incidenskezelési szabályzattal, amely tervezetet megküldte a NAIH részére. Az incidenskezelési rendhez kapcsolódóan az MHEK adatvédelmi tisztviselője összeállított egy listát is a korábban előfordult, illetve esetlegesen előforduló adatvédelmi incidens-típusokról, példákkal bemutatva. Ez a személyi állománynak nyújthat segítséget az incidensek felismerése és kezelése érdekében. Egy kérdéslista is összeállításra került a 29-es Adatvédelmi Munkacsoport adatvédelmi incidensekkel kapcsolatos iránymutatása alapján, amely az incidensekkel kapcsolatos kockázatok felmérésére és értékelésére szolgál.
Mivel a tényállás tisztázásának részeként önmagában az MHEK nyilatkoztatása révén nem volt felderíthető, hogy az adott adatvédelmi incidens vonatkozásában a panaszoshoz köthető kórházi igénylőlap pontosan milyen körülmények között került ki az MHEK kezeléséből, ezért a NAIH megkereste az origo.hu portált üzemeltető New Wave Media Group Kft-t (Origo), hogy nyilatkozzon arról, hogy a panaszos portálon megjelent igénylőlapja hogyan került a birtokába. A megkereső végzést az Origo a visszaérkezett tértivevény alapján átvette, azonban a mai napig megjelölt határidőn túl sem juttatott el semmilyen nyilatkozatot a NAIH-hoz, így sem a kérdésre nem válaszolt, se nem nyilatkozott arról, hogy az őt médiatartalom-szolgáltatóként az Ákr. 66. § (3) bekezdés c) pontja és az Ákr. 105. § (2) bekezdése alapján megillető nyilatkozat megtagadási joggal kívánna élni. Mivel az Origo semmilyen nyilatkozatot nem juttatott el a NAIH-hoz, ezért a Hatóság 200.000 Ft eljárási bírságot szabott ki az eljárás akadályozása miatt, továbbá ismételten felhívta a nyilatkozat haladéktalan megtételére. Mindezek ellenére a felhívásra az Origo továbbra sem válaszolt, a bírságoló végzést azonban bíróság előtt megtámadta.
A NAIH döntése
A NAIH megítélése szerint az MHEK adatvédelmi incidensnek kellett volna minősítse az esetet, és ezek szerint kezelnie a tudomásszerzést követően. Erre amiatt is sort kellett volna keríteni, mivel az igénylőlap nyilvánosságra kerülésével kapcsolatban az MHEK felügyeletét ellátó HM rögtön, már 2019. február 14-énadatvédelmi ellenőrzést rendelt el, ahol a vizsgálat tárgyát az is képezte, hogy az igénylőlapokkal kapcsolatos személyes adatok kezelése során megfelelőek-e az adatok biztonsága kapcsán meglévő intézkedések. Mivel már az ellenőrzés elrendelésekor felmerült annak az alapos gyanúja, hogy az MHEK által alkalmazott adatbiztonsági intézkedések sérülése kapcsán kerülhetett nyilvánosságra a panaszos igénylőlapja, ezért annak adatvédelmi incidensként való kezelésének kötelezettsége is egyértelműen megállapítható. Habár a vizsgálat nem tudta végül teljesen feltárni, hogy az igénylőlap hogyan és milyen módon kerülhetett a sajtóorgánumhoz, az eset összes körülményei, az igénylőlap szervezeten belüli mozgása és a releváns időpontok (így a dokumentum 2019. február 11-iparancsnoki felkérése a kórlaptárból, majd annak másnapi megjelenése az internetes sajtóban) alapján valószínű, hogy az az MHEK-nál bekövetkezett biztonsági eseményre vezethető vissza.
A NAIH megjegyezte, hogy a kérdéses adatoknak a sajtó –vagy bárki más –részére való továbbítása az adott –ismeretlen –személy részéről önmagában is jogellenes adatkezelésnek tekinthető, hiszen egyértelműen ütközik a célhoz kötött és a jogszerű adatkezelés követelményével. A NAIH a konkrét elkövető ismeretének hiányában eltekintett ezen jogellenes adatkezelés további vizsgálatától. Ennek során figyelemmel volt a HM által az incidens nyomán indított vizsgálat eredményeként előírt intézkedésekre és arra, hogy a jelen hatósági eljárás tárgya az incidens MHEK általi kezelése volt. Figyelembe vette továbbá, hogy az incidens előidézése valószínűsíthetően az egyébként is alkalmazott szabályok szándékos megsértéséből eredt, valamint az elkövető személyének megállapítására nem állnak rendelkezésre a megfelelő eszközök.
A nyilvántartásba vétel elmaradásával azonban az MHEK megsértette a GDPR 33. cikk (5) bekezdését.
A NAIH egyetértett az MHEK érvelésével abban a tekintetben, hogy az igénylőlapon található kiszivárgott személyes adatok nem minősülnek a GDPR 9. cikk (1) bekezdése szerinti különleges adatnak, mivel abból se a panaszos, se más személy egészségügyi állapotára vonatkozóan nem lehet következtetést levonni. A szolgáltatás igénylésének tényéből és a lapon szereplő adatokból önmagában nem lehet levonni egészségügyi szempontból releváns következtetést, így például, hogy a panaszos pontosan miért szeretné igénybe venni a kórház szolgáltatását.
A NAIH az incidens kockázati besorolásával kapcsolatban kiemelte, hogy az igénylőlap MHEK kezeléséből való kikerülése önmagában adatvédelmi incidensnek minősül, az incidenskénti kezeléséhez nem további feltétel annak nyilvánosságra hozatala, így kockázatait is önmagában, nem a későbbi nyilvánosságra hozatal fényében kell értékelni. A nyilvánosságra hozatalnak az érintettre jelentett kockázat megítélése kapcsán a ténylegesen bekövetkezett esetleges hátrányos következmények vizsgálata körében lehet jelentősége. Magán az igénylőlapon ugyanis szerepelt olyan adat is (az érintett TAJ száma), amely nyilvánosan nem érhető el, így ezt az adatot jogosulatlanul ismerhette meg a dokumentumot kiszivárogtató személy és a sajtó is.
A NAIH megítélése szerint az incidens alacsonyabb kockázati besorolása abban a vonatkozásában elfogadható, hogy csupán egyetlen érintett, nagyrészt nyilvánosan elérhető személyes adatait érintette. Az incidensben azonban érintett volt nem nyilvánosan elérhető személyes adat is (TAJ szám), továbbá az igénylőlap sajtó általi megjelentetése a panaszos magánszférához való jogát hátrányosan érintette, mivel a kórházi szolgáltatás igénylése kapcsán nem közszereplői minőségében járt el, a szolgáltatás igénylése nem közszereplői minőségéből fakad. A szóban forgó szolgáltatást nem csak közszereplők, hanem bárki igényelheti.
Az MHEK is hivatkozott a kockázati besorolás kapcsán arra, hogy az adatokkal kapcsolatban nem állapítható meg, hogy azok a panaszos közfeladatának (országgyűlési képviselő) ellátásával kapcsolatban keletkeztek. A NAIH megítélése szerint ezért a kórházi szolgáltatás igénylésének ténye, mint nyilvánosságra került adat is kockázatos lehet az érintett személy jogai és szabadságai szempontjából. Az incidenssel jelentett kockázatokat tehát az ügy kapcsán teljes mértékben nem lehet kizárni.
A GDPR 33. cikk (1) bekezdése szerint fő szabályként az incidenst be kell jelenteni a felügyeleti hatóságnak. A rendelet ezen bekezdése és a (85) preambulum bekezdése is kimondja, hogy a bejelentéstől az adatkezelő csak abban az esetben tekinthet el, ha az elszámoltathatóság elvével6összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
A NAIH felhívta a figyelmet, hogy ha bármilyen alacsony kockázat is fennáll egy adott incidenssel kapcsolatban, a kockázat hiányának valószínűsíthetőségétől nem lehet beszélni. Ha az incidenssel kapcsolatban minden releváns tényező nem állapítható meg, akkor a kockázatok és azok bekövetkezése valószínűségének feltárásához sem állhatnak rendelkezésre a szükséges adatok, a kockázat nem zárható ki, és annak kizártsága sem valószínűsíthető ilyen helyzetben. A NAIH szerint az érintettre jelentett kockázat a nem nyilvános TAJ szám és az igénylés tényének kiszivárgásából, valamint ezen utóbbi tény sajtó általi megjelentetéséből fakad, hiszen az érintett a szolgáltatásokat magánszemély minőségben igényelte. Az incidens kockázatos voltát egyébként utólag az MHEK is elismerte azzal, hogy a hatósági eljárás megindítása után végül 2019. június 3-án e-mailben bejelentette azt a Hatóságnak az incidensbejelentésre szolgáló formanyomtatvány használatával.
Az adatvédelmi incidens bejelentésére tehát nem került sor az általános adatvédelmi rendelet 33. cikk (1) bekezdése által meghatározott határidőben, vagyis indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az adatkezelő tudomására jutott.
A NAIH az incidensbejelentési kötelezettséggel kapcsolatban hangsúlyozta, hogy ha a tudomásszerzéstől számított 72 órás határidőt az adatkezelő nem tudja tartani, úgy minden esetben igazolnia kell a késedelmes bejelentés indokait a Hatóság felé. E körben az MHEK arra hivatkozott, hogy nem volt arról tudomása, hogy az incidensbejelentés a NAIH ellenőrzésének, illetve eljárásának megindítása után is megtehető. A NAIH azonban nem tudta elfogadni az MHEK ezen indokát, mivel a tudomásszerzés (2019. február 13.) és a hatósági ellenőrzés megindításának időpontja (2019. március 25.) között is több mint egy hónap telt el, amivel önmagában is többszörösen átlépte a rendelet által előírt 72 órásbejelentési határidőt.
Az incidens megfelelő kezelése szempontjából a bejelentés szakaszos megtétele elfogadható megoldás az adatkezelő részéről akkor, ha egyébként nem teljesen biztos a kockázatok értékelését illetően, illetve ennek lefolytatására még nem áll rendelkezésére valamennyi információ, azt azonban már nagy valószínűséggel meg tudja állapítani, hogy adatvédelmi incidens történt. Nincs annak akadálya, hogy az adatkezelő kiegészítse az incidensbejelentését a 72 órás határidőt követően tudomására jutott tényekkel.
A NAIH megjegyezte, hogy az MHEK-nál a felettes szerve által lefolytatott eseti adatvédelmi ellenőrzés eredményének bevárása sem szolgáltathat alapot arra, hogy késlekedjen az incidens bejelentésével. Ugyanis már korábban rendelkezésre állt valamennyi adat az incidens –legalább részleges –bejelentésével kapcsolatban. Az MHEK ezen felül rendelkezik adatvédelmi tisztviselővel, önálló adatkezelőnek minősül, így elvárható tőle, hogy az incidens minősítését és kockázati besorolását önállóan is el tudja végezni.
A NAIH végül figyelembe vette azt az ügy megítélése során, hogy az MHEK az incidensről való tudomásszerzés időpontjában nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrenddel, az csak utólag került kialakításra. Az MHEK nyilatkozata alapján az incidenskezelési szabályzat csupán tervezet szintjén állt rendelkezésre, annak véglegesítése a NAIH ellenőrzését megelőzően még nem történt meg. Az incidenskezelési szabályzat részletes kidolgozására, csak jóval az ügy tárgyát képező incidens és a hatósági ellenőrzés megindítása után, 2019. májusában került sor. Az Ügyfél a szabályzat elkészítésével való késlekedés indokaként arra hivatkozott, hogy a honvédelmi szervek adatvédelmi incidensekkel kapcsolatos feladatait is általánosságban meghatározó 2/2019. (I.24.) HM utasítás csak 2019. február 1-jén lépett hatályba.
A NAIH kifejtette, hogy az adatkezelés biztonságát szolgáló megfelelő szervezési intézkedésnek tekinthető az, ha az adatkezelő az adatvédelmi incidensek kezelésére vonatkozó belső szabályzatot alakít ki és azt következetesen betartatja, ez azonban csak akkor követelhető meg az adatkezelőtől, ha az az adatkezelési tevékenység vonatkozásában arányos.
Mivel az MHEK az ország egyik legnagyobb egészségügyi intézményeként, főtevékenysége keretein belül nagy számban kezel a GDPR 9. cikke szerinti különleges (egészségügyi) adatokat, ezért az adatvédelmi incidensekre való reagálás, azok kivizsgálása és a szükséges intézkedések megtétele szempontjából egy ilyen érzékeny adatokat nagy számban kezelő intézménynél elvárható a belső szabályzat megléte.
A NAIHt megállapította, hogy az MHEK nem tett eleget a GDPR 32. cikk (1) bekezdésében, továbbá a 24. cikk (1) és (2) bekezdéseiben,valamint az Infotv. 25/A. § (1) és (3) bekezdéseiben foglaltaknak, amikor nagyszámú különleges adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző, adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem alakított ki időben belső incidenskezelési szabályzatot.
(naih.hu)
