NAIH: magas kockázatú adatvédelmi incidens történt

Szerző: Jogászvilág
Dátum: 2019. április 3.
Címkék: , ,
Rovat:
Magas kockázatú adatvédelmi incidens történt a Belügyminisztérium járműszolgáltatási platformjánál (JSZP), amikor a tesztüzemben személyes adatok kerültek ki – állapította meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata. 

www.naih.hu oldalra felkerült határozat szerint a tesztüzemben működő JSZP rendszeren keresztül a felhasználók egy gépjármű rendszáma alapján különböző, a járművel kapcsolatos adatokat igényelhetnek a nyilvántartásokból, például a kilométeróra állását. A tesztüzemben azonban egy hibás beállítás miatt a rendszer a gépjárművek korábbi tulajdonosainak személyes adatait (nevét, születési dátumát, anyja nevét, egyes esetekben a címét) is megjelenítette a lekérdezések során. Egy másik típusú hiba volt, hogy a műszaki vagy eredetiségvizsgálat során készített fényképek galériájában olyan felvételek szerepeltek, amelyeken természetes személyek láthatóak.

A NAIH vizsgálata megállapította, hogy a BM egy ügyféltől értesült a hibákról és az üzemeltető IdomSoft Zrt.-vel közösen azonnal megkezdte az informatikai rendszer átvizsgálását.
A rendszer kijavításáig összesen 15 820 alkalommal adtak ki személyes adatokat, bár több esetben ugyanaz a felhasználó jutott hozzá az adatokhoz többszörös lekérdezés révén. Az összes lekérdezéssel összesen 11 614, személyes adatokat tartalmazó rovatot adtak ki a rendszeren keresztül, vagyis az adatvédelmi incidensnek körülbelül 11 ezer érintettje volt.
A BM szerint az adatvédelmi incidens elhanyagolható kockázatú volt, mivel a járműnyilvántartás ötmillió jármű adatait tartalmazza és százmilliónál több személyes adatot kezel, ezért az incidens során megismert személyes adatok száma szinte elhanyagolható a kezelt adatok számához mérten.

A Belügyminisztérium utasította az IdomSoft Zrt.-t, hogy állítson be szűrést az érintett személyes adatokra, hogy azokat a rendszer a továbbiakban ne adja ki. A fényképekkel összefüggő incidensek megelőzésére a BM “módszertani útmutatót” készített a gépjárművek eredetiségvizsgálatán készült fotók készítésének helyes módjáról.

A hatóság szerint a BM a rendszerhiba azonnali kijavításával, az útmutatók kiadásával és a hibabejelentő e-mail cím létrehozásával “szinte minden szükséges technikai és szervezési intézkedést megtett annak érdekében, hogy az érintettek jogaira és szabadságaira jelentett kockázat a továbbiakban ne valósuljon meg”.

Ugyanakkor a NAIH szerint a minisztérium elmulasztotta tájékoztatni az érintetteket az adatvédelmi incidensről, pedig erre szükség lett volna, ugyanis jellemzően magas az érintett magánszférájára jelentett kockázat a személyazonosításra alkalmas adatok nyilvánosságra kerülése esetén. Ezek birtokában ugyanis elkövethető a személyazonossággal visszaélés, például egy szerződés megkötésekor. A NAIH hivatkozott arra, hogy az unió általános adatvédelmi rendelete (GDPR) szerint ha az adatkezelésből személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat, akkor az alapvetően kockázatosnak minősül.

A hivatal elfogadhatónak tartotta a Belügyminisztérium azon álláspontját, hogy az érintetteket egyenként nem tudja tájékoztatni pontos értesítési címek hiányában, de szükségesnek látta előírni, hogy a tárca nyilvánosan adjon tájékoztatást az incidensről.

A NAIH határozatában megállapította, hogy a BM nem tett eleget a tájékoztatási kötelezettségének, ezért utasította a minisztériumot, hogy tájékoztassa az érintetteket, az adatokat lekérő felhasználókat pedig szólítsa fel a nekik jogellenesen továbbított adatok törlésére.

A hivatal ugyanakkor nem szabott ki bírságot a Belügyminisztériummal szemben, arra hivatkozva, hogy az arányosság elve szerint az előírások első alkalommal történő megsértése esetén elsősorban figyelmeztetnek.

(MTI)

Kapcsolódó cikkek:


A Brexit hatása az adatkezelésre
2019. március 20.

Számos szektorban kell a Brexitet követő időszakkal kapcsolatos nyitott kérdésekre választ találni, az adatvédelem területén is.

A GDPR után érkezik az e-Privacy rendelet
2019. február 28.

A magánélet és a digitális adatok védelmét az általános adatvédelmi rendelet (GDPR) után az elektronikus hírközlési adatvédelmi rendelettel (e-Privacy) is erősítené az Európai Unió. Az új szabályozás az adatvédelem egy speciális területére, az elektronikus kommunikációra összpontosít és az „over the top” („OTT”) szolgáltatókra is vonatkozik majd.