Pert nyert a NAIH a Honvédkórház ellen

Napi

2020. augusztus 7. Jogászvilág

adatkezelés, adatvédelmi incidens, adatvédelmi incidens bejelentése, általános közigazgatási rendtartás, Fővárosi Törvényszék, GDPR, GDPR bírság, Honvédkórház, Infotv., közigazgatási bíróság

Kapcsolódó termékek: Jogi kiadványok, Ügyvéd Jogtár demo

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Fővárosi Törvényszék megállapította, hogy a NAIH jogszerűen járt el, amikor megbírságolta a Honvédkórházat, mert Demeter Márta országgyűlési képviselő egészségügyi adatai a Honvédkórháztól a sajtóhoz kerültek egy adatvédelmi incidens keretében, amelyet a Honvédkórház nem jelentett be a NAIH-nak.

Az alapügy

Demeter Márta országgyűlési képviselő panaszbeadvánnyal fordult a NAIH-hoz, amely 2019. május 24-én adatvédelmi hatósági eljárást indított. A NAIH határozatában megállapította, hogy a Honvédkórház a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget ezen cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének.

Megállapította továbbá, hogy a Honvédkórház azzal, hogy fő tevékenységként nagyszámú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző, adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidens-kezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, továbbá 24. cikk (1) és (2) bekezdéseiben, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (3) bekezdéseiben foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.

A Fővárosi Törvényszék döntése

Tekintettel arra, hogy a felek között nem volt vitatott, hogy a panaszos igénylőlapja kikerült a nyilvánosságra, önmagában azzal, hogy az igénylőlap eljutott a sajtóhoz, megvalósult az adatvédelmi incidens a GDPR fenti rendelkezése értelmében. Mivel a jogszabály a Honvédkórházra, mint adatkezelőre telepíti az adat őrzésének a kötelezettségét, ha az adat kikerül, akkor nincs relevanciája annak, hogy az adat hogyan kerülhetett a sajtóhoz, ezért a NAIH-nak nem kellett bizonyítania, hogy ki volt az elkövető és milyen módon került ki az adat a felperestől. A tényállás kellően tisztázott volt, így a NAIH az Ákr. 62. §-ának megfelelően járt el. Mivel a Honvédkórház felelőssége objektív jellegű, így önmagában az, hogy az adat eljutott a sajtóhoz, és nem ismerte fel az adatvédelmi incidenst, megalapozza a felperes felelősségét az adatvédelmi incidensért.

Mivel a Honvédkórház nem ismerte fel az adatvédelmi incidenst, így – általa is elismerten – nem készített róla nyilvántartást. Erre figyelemmel az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.

A GDPR 24. cikk (1) bekezdése szerint az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.

A fenti rendelkezések fényében és figyelemmel arra, hogy a Honvédkórház egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, mindenképpen arányosnak tekinthető az adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése. Az adatbiztonság biztosítása érdekében, még ha nem is külön szabályzatként, de legalább az adatvédelmi szabályzat részeként mindenképpen le kell szabályozni a belső incidens-kezelési folyamatokat. Ennek segítségével az adatkezelő észlelni és kezelni tudja az incidenseket, előre meghatározott szempontrendszer szerint értékelni tudja, hogy milyen kockázattal jár az incidens a természetes személyek jogaira és szabadságaira nézve, és ezek alapján meg tudja határozni, hogy az incidens-kezeléshez milyen szükséges lépéseket kell megtennie, és azokért ki a felelős.

Az adott ügyben a NAIH a határozatában megfelelően megindokolta, hogy miért tartotta szükségesnek a Honvédkórházzal szemben figyelmeztetés helyett bírság kiszabását, a törvényszék álláspontja szerint a NAIH a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak.

Annak eldöntésében, hogy egy adott ügyben szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság konkrét összegének megállapítására vonatkozóan a GDPR széleskörű mérlegelési jogkört biztosít a tagállami felügyeleti hatóságnak.

A Fővárosi Törvényszék álláspontja szerint a NAIH az adott ügyben releváns körülményeket megfelelően értékelte, mérlegelte, s erről a határozatában a megfelelő jogszabályi hivatkozásokkal számot is adott, a határozat indokolásából a mérlegelés szempontjai megállapíthatók és abból a mérlegelés okszerűsége is kitűnik. Kirívó okszerűtlenséget a Fővárosi Törvényszék nem tudott azonosítani és ilyet a Honvédkórház sem jelölt meg. Azt, hogy egyetlen személyt érintett az incidens, az alperes a határozat tanúsága szerint a bírságkiszabás körében figyelembe vette.

Mivel a fentebb kifejtettek miatt a Honvédkórháznak a jogsértésért való felelőssége objektív jellegű, így sem a felróhatóságnak, sem a gondatlanságnak, illetve azok hiányának nem volt relevanciája a bírságkiszabás körében. A NAIH helyesen vette figyelembe a bírságkiszabás körében a Honvédkórháznál előfordult másik incidenst, mivel nem az számít, hogy a másik jogsértés mikor következett be, hanem a jogsértés ismétlődésének a ténye, amely fokozott adatbiztonsági kockázatot rejt magában.

A fentiek alapján a Fővárosi Törvényszék megállapította, hogy a NAIH jogszerű döntést hozott, ezért a Honvédkórház keresetét a Kp. 88. § (1) bekezdés a) pontja alapján, mint alaptalant, elutasította.

(naih.hu)

Kapcsolódó cikkek

2024. november 4.

Csökken az egyajánlatos szerződések száma

2024 első három negyedévében 5744 darab eredményes közbeszerzési eljárást folytattak le hazánkban az ajánlatkérők, mely összesen 12572 darab közbeszerzési szerződés megkötését jelentette. A közbeszerzések összértéke a tavalyi év azonos időszakához képest 46%-kal emelkedett, azaz összesen 2825,1 milliárd forintot tett ki. Ennek ellenére a rekordnak számító 2022-es évtől ez az érték még messze elmarad. Az előző évek azonos időszakához viszonyítva az egyajánlatos közbeszerzési szerződések számaránya mind az uniós, mind pedig a nemzeti eljárásrendben folyamatosan csökkenő tendenciát mutat, ami a verseny fokozódását jelzi.

2024. november 4.

Megindult a versenyfutás az új atomerőművekért az MI miatt

Irtózatos számítási kapacitás, következésképpen rengeteg energia és víz kell ahhoz, hogy fél világ az AI-jal írassa a leveleit, a nagy tech-cégek az atomenergia rehabilitációját látják a megoldásnak – írja az Euronews.

2024. november 4.

Ingyen adnak tanácsot a fővárosi ügyvédek

A Budapesti Ügyvédi Kamara november 8-i Pro Bono Napján közel száz ügyvéd ad ingyen tanácsot rászorulóknak. A programra regisztrálni szükséges.