Pert nyert a NAIH a Honvédkórház ellen
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A Fővárosi Törvényszék megállapította, hogy a NAIH jogszerűen járt el, amikor megbírságolta a Honvédkórházat, mert Demeter Márta országgyűlési képviselő egészségügyi adatai a Honvédkórháztól a sajtóhoz kerültek egy adatvédelmi incidens keretében, amelyet a Honvédkórház nem jelentett be a NAIH-nak.
Az alapügy
Demeter Márta országgyűlési képviselő panaszbeadvánnyal fordult a NAIH-hoz, amely 2019. május 24-én adatvédelmi hatósági eljárást indított. A NAIH határozatában megállapította, hogy a Honvédkórház a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget ezen cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének.
Megállapította továbbá, hogy a Honvédkórház azzal, hogy fő tevékenységként nagyszámú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző, adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidens-kezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, továbbá 24. cikk (1) és (2) bekezdéseiben, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (3) bekezdéseiben foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.
A Fővárosi Törvényszék döntése
Tekintettel arra, hogy a felek között nem volt vitatott, hogy a panaszos igénylőlapja kikerült a nyilvánosságra, önmagában azzal, hogy az igénylőlap eljutott a sajtóhoz, megvalósult az adatvédelmi incidens a GDPR fenti rendelkezése értelmében. Mivel a jogszabály a Honvédkórházra, mint adatkezelőre telepíti az adat őrzésének a kötelezettségét, ha az adat kikerül, akkor nincs relevanciája annak, hogy az adat hogyan kerülhetett a sajtóhoz, ezért a NAIH-nak nem kellett bizonyítania, hogy ki volt az elkövető és milyen módon került ki az adat a felperestől. A tényállás kellően tisztázott volt, így a NAIH az Ákr. 62. §-ának megfelelően járt el. Mivel a Honvédkórház felelőssége objektív jellegű, így önmagában az, hogy az adat eljutott a sajtóhoz, és nem ismerte fel az adatvédelmi incidenst, megalapozza a felperes felelősségét az adatvédelmi incidensért.
Mivel a Honvédkórház nem ismerte fel az adatvédelmi incidenst, így – általa is elismerten – nem készített róla nyilvántartást. Erre figyelemmel az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.
A GDPR 24. cikk (1) bekezdése szerint az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.
A fenti rendelkezések fényében és figyelemmel arra, hogy a Honvédkórház egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, mindenképpen arányosnak tekinthető az adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése. Az adatbiztonság biztosítása érdekében, még ha nem is külön szabályzatként, de legalább az adatvédelmi szabályzat részeként mindenképpen le kell szabályozni a belső incidens-kezelési folyamatokat. Ennek segítségével az adatkezelő észlelni és kezelni tudja az incidenseket, előre meghatározott szempontrendszer szerint értékelni tudja, hogy milyen kockázattal jár az incidens a természetes személyek jogaira és szabadságaira nézve, és ezek alapján meg tudja határozni, hogy az incidens-kezeléshez milyen szükséges lépéseket kell megtennie, és azokért ki a felelős.
Az adott ügyben a NAIH a határozatában megfelelően megindokolta, hogy miért tartotta szükségesnek a Honvédkórházzal szemben figyelmeztetés helyett bírság kiszabását, a törvényszék álláspontja szerint a NAIH a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak.
Annak eldöntésében, hogy egy adott ügyben szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság konkrét összegének megállapítására vonatkozóan a GDPR széleskörű mérlegelési jogkört biztosít a tagállami felügyeleti hatóságnak.
A Fővárosi Törvényszék álláspontja szerint a NAIH az adott ügyben releváns körülményeket megfelelően értékelte, mérlegelte, s erről a határozatában a megfelelő jogszabályi hivatkozásokkal számot is adott, a határozat indokolásából a mérlegelés szempontjai megállapíthatók és abból a mérlegelés okszerűsége is kitűnik. Kirívó okszerűtlenséget a Fővárosi Törvényszék nem tudott azonosítani és ilyet a Honvédkórház sem jelölt meg. Azt, hogy egyetlen személyt érintett az incidens, az alperes a határozat tanúsága szerint a bírságkiszabás körében figyelembe vette.
Mivel a fentebb kifejtettek miatt a Honvédkórháznak a jogsértésért való felelőssége objektív jellegű, így sem a felróhatóságnak, sem a gondatlanságnak, illetve azok hiányának nem volt relevanciája a bírságkiszabás körében. A NAIH helyesen vette figyelembe a bírságkiszabás körében a Honvédkórháznál előfordult másik incidenst, mivel nem az számít, hogy a másik jogsértés mikor következett be, hanem a jogsértés ismétlődésének a ténye, amely fokozott adatbiztonsági kockázatot rejt magában.
A fentiek alapján a Fővárosi Törvényszék megállapította, hogy a NAIH jogszerű döntést hozott, ezért a Honvédkórház keresetét a Kp. 88. § (1) bekezdés a) pontja alapján, mint alaptalant, elutasította.
(naih.hu)