Pert nyert a NAIH a Honvédkórház ellen

A Fővárosi Törvényszék megállapította, hogy a NAIH jogszerűen járt el, amikor megbírságolta a Honvédkórházat, mert Demeter Márta országgyűlési képviselő egészségügyi adatai a Honvédkórháztól a sajtóhoz kerültek egy adatvédelmi incidens keretében, amelyet a Honvédkórház nem jelentett be a NAIH-nak.


Az alapügy

Demeter Márta országgyűlési képviselő panaszbeadvánnyal fordult a NAIH-hoz, amely 2019. május 24-én adatvédelmi hatósági eljárást indított. A NAIH határozatában megállapította, hogy a Honvédkórház a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget ezen cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének.

Megállapította továbbá, hogy a Honvédkórház azzal, hogy fő tevékenységként nagyszámú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző, adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidens-kezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, továbbá 24. cikk (1) és (2) bekezdéseiben, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (3) bekezdéseiben foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.

A Fővárosi Törvényszék döntése

Tekintettel arra, hogy a felek között nem volt vitatott, hogy a panaszos igénylőlapja kikerült a nyilvánosságra, önmagában azzal, hogy az igénylőlap eljutott a sajtóhoz, megvalósult az adatvédelmi incidens a GDPR fenti rendelkezése értelmében. Mivel a jogszabály a Honvédkórházra, mint adatkezelőre telepíti az adat őrzésének a kötelezettségét, ha az adat kikerül, akkor nincs relevanciája annak, hogy az adat hogyan kerülhetett a sajtóhoz, ezért a NAIH-nak nem kellett bizonyítania, hogy ki volt az elkövető és milyen módon került ki az adat a felperestől. A tényállás kellően tisztázott volt, így a NAIH az Ákr. 62. §-ának megfelelően járt el. Mivel a Honvédkórház felelőssége objektív jellegű, így önmagában az, hogy az adat eljutott a sajtóhoz, és nem ismerte fel az adatvédelmi incidenst, megalapozza a felperes felelősségét az adatvédelmi incidensért.

Mivel a Honvédkórház nem ismerte fel az adatvédelmi incidenst, így – általa is elismerten – nem készített róla nyilvántartást. Erre figyelemmel az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.

A GDPR 24. cikk (1) bekezdése szerint az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.

A fenti rendelkezések fényében és figyelemmel arra, hogy a Honvédkórház egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, mindenképpen arányosnak tekinthető az adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése. Az adatbiztonság biztosítása érdekében, még ha nem is külön szabályzatként, de legalább az adatvédelmi szabályzat részeként mindenképpen le kell szabályozni a belső incidens-kezelési folyamatokat. Ennek segítségével az adatkezelő észlelni és kezelni tudja az incidenseket, előre meghatározott szempontrendszer szerint értékelni tudja, hogy milyen kockázattal jár az incidens a természetes személyek jogaira és szabadságaira nézve, és ezek alapján meg tudja határozni, hogy az incidens-kezeléshez milyen szükséges lépéseket kell megtennie, és azokért ki a felelős.

Az adott ügyben a NAIH a határozatában megfelelően megindokolta, hogy miért tartotta szükségesnek a Honvédkórházzal szemben figyelmeztetés helyett bírság kiszabását, a törvényszék álláspontja szerint a NAIH a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak.

Annak eldöntésében, hogy egy adott ügyben szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság konkrét összegének megállapítására vonatkozóan a GDPR széleskörű mérlegelési jogkört biztosít a tagállami felügyeleti hatóságnak.

A Fővárosi Törvényszék álláspontja szerint a NAIH az adott ügyben releváns körülményeket megfelelően értékelte, mérlegelte, s erről a határozatában a megfelelő jogszabályi hivatkozásokkal számot is adott, a határozat indokolásából a mérlegelés szempontjai megállapíthatók és abból a mérlegelés okszerűsége is kitűnik. Kirívó okszerűtlenséget a Fővárosi Törvényszék nem tudott azonosítani és ilyet a Honvédkórház sem jelölt meg. Azt, hogy egyetlen személyt érintett az incidens, az alperes a határozat tanúsága szerint a bírságkiszabás körében figyelembe vette.

Mivel a fentebb kifejtettek miatt a Honvédkórháznak a jogsértésért való felelőssége objektív jellegű, így sem a felróhatóságnak, sem a gondatlanságnak, illetve azok hiányának nem volt relevanciája a bírságkiszabás körében. A NAIH helyesen vette figyelembe a bírságkiszabás körében a Honvédkórháznál előfordult másik incidenst, mivel nem az számít, hogy a másik jogsértés mikor következett be, hanem a jogsértés ismétlődésének a ténye, amely fokozott adatbiztonsági kockázatot rejt magában.

A fentiek alapján a Fővárosi Törvényszék megállapította, hogy a NAIH jogszerű döntést hozott, ezért a Honvédkórház keresetét a Kp. 88. § (1) bekezdés a) pontja alapján, mint alaptalant, elutasította.

(naih.hu)



Kapcsolódó cikkek:


Időseket kifosztó férfiakat ítélt el a bíróság
2021. január 22.

Kilencrendbeli, bűnszövetségben elkövetett kifosztás miatt jogerősen öt év hat hónap és négy év két hónap börtönre ítéltek Pécsen két férfit, aki baranyai falvakban élő időseket tévesztett meg és fosztott ki.

Az otthonban élő idősek kapcsolattartása a koronavírus idején
2021. január 21.

Az otthonban élő idősek kapcsolattartása a koronavírus idején

Zavarosak és hiányosak a szociális otthonok lakóira vonatkozó kapcsolattartási szabályok. Az általános látogatási és kijárási tilalom alól vannak kivételek, de ezek alkalmazása nem egyértelmű, ami bizonytalanságot okoz. Emiatt a TASZ fordult a Nemzeti Népegészségügyi Központhoz és külön felhívta a figyelmet a koronavírus-fertőzésen átesett lakók védettebb helyzetére, kérve a rájuk vonatkozó szabályok megalkotását.