Bejelentkezés Hírlevél

Pert nyert a NAIH a Honvédkórház ellen


Napi
2020. augusztus 7. Jogászvilág
, , , , , , , , ,

Kapcsolódó termékek: Jogi kiadványok, Ügyvéd Jogtár demo

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Fővárosi Törvényszék megállapította, hogy a NAIH jogszerűen járt el, amikor megbírságolta a Honvédkórházat, mert Demeter Márta országgyűlési képviselő egészségügyi adatai a Honvédkórháztól a sajtóhoz kerültek egy adatvédelmi incidens keretében, amelyet a Honvédkórház nem jelentett be a NAIH-nak.

Az alapügy

Demeter Márta országgyűlési képviselő panaszbeadvánnyal fordult a NAIH-hoz, amely 2019. május 24-én adatvédelmi hatósági eljárást indított. A NAIH határozatában megállapította, hogy a Honvédkórház a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget ezen cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének.

Megállapította továbbá, hogy a Honvédkórház azzal, hogy fő tevékenységként nagyszámú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző, adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidens-kezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, továbbá 24. cikk (1) és (2) bekezdéseiben, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (3) bekezdéseiben foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.

A Fővárosi Törvényszék döntése

Tekintettel arra, hogy a felek között nem volt vitatott, hogy a panaszos igénylőlapja kikerült a nyilvánosságra, önmagában azzal, hogy az igénylőlap eljutott a sajtóhoz, megvalósult az adatvédelmi incidens a GDPR fenti rendelkezése értelmében. Mivel a jogszabály a Honvédkórházra, mint adatkezelőre telepíti az adat őrzésének a kötelezettségét, ha az adat kikerül, akkor nincs relevanciája annak, hogy az adat hogyan kerülhetett a sajtóhoz, ezért a NAIH-nak nem kellett bizonyítania, hogy ki volt az elkövető és milyen módon került ki az adat a felperestől. A tényállás kellően tisztázott volt, így a NAIH az Ákr. 62. §-ának megfelelően járt el. Mivel a Honvédkórház felelőssége objektív jellegű, így önmagában az, hogy az adat eljutott a sajtóhoz, és nem ismerte fel az adatvédelmi incidenst, megalapozza a felperes felelősségét az adatvédelmi incidensért.

Mivel a Honvédkórház nem ismerte fel az adatvédelmi incidenst, így – általa is elismerten – nem készített róla nyilvántartást. Erre figyelemmel az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.

A GDPR 24. cikk (1) bekezdése szerint az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik.

A fenti rendelkezések fényében és figyelemmel arra, hogy a Honvédkórház egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, mindenképpen arányosnak tekinthető az adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése. Az adatbiztonság biztosítása érdekében, még ha nem is külön szabályzatként, de legalább az adatvédelmi szabályzat részeként mindenképpen le kell szabályozni a belső incidens-kezelési folyamatokat. Ennek segítségével az adatkezelő észlelni és kezelni tudja az incidenseket, előre meghatározott szempontrendszer szerint értékelni tudja, hogy milyen kockázattal jár az incidens a természetes személyek jogaira és szabadságaira nézve, és ezek alapján meg tudja határozni, hogy az incidens-kezeléshez milyen szükséges lépéseket kell megtennie, és azokért ki a felelős.

Az adott ügyben a NAIH a határozatában megfelelően megindokolta, hogy miért tartotta szükségesnek a Honvédkórházzal szemben figyelmeztetés helyett bírság kiszabását, a törvényszék álláspontja szerint a NAIH a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak.

Annak eldöntésében, hogy egy adott ügyben szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság konkrét összegének megállapítására vonatkozóan a GDPR széleskörű mérlegelési jogkört biztosít a tagállami felügyeleti hatóságnak.

A Fővárosi Törvényszék álláspontja szerint a NAIH az adott ügyben releváns körülményeket megfelelően értékelte, mérlegelte, s erről a határozatában a megfelelő jogszabályi hivatkozásokkal számot is adott, a határozat indokolásából a mérlegelés szempontjai megállapíthatók és abból a mérlegelés okszerűsége is kitűnik. Kirívó okszerűtlenséget a Fővárosi Törvényszék nem tudott azonosítani és ilyet a Honvédkórház sem jelölt meg. Azt, hogy egyetlen személyt érintett az incidens, az alperes a határozat tanúsága szerint a bírságkiszabás körében figyelembe vette.

Mivel a fentebb kifejtettek miatt a Honvédkórháznak a jogsértésért való felelőssége objektív jellegű, így sem a felróhatóságnak, sem a gondatlanságnak, illetve azok hiányának nem volt relevanciája a bírságkiszabás körében. A NAIH helyesen vette figyelembe a bírságkiszabás körében a Honvédkórháznál előfordult másik incidenst, mivel nem az számít, hogy a másik jogsértés mikor következett be, hanem a jogsértés ismétlődésének a ténye, amely fokozott adatbiztonsági kockázatot rejt magában.

A fentiek alapján a Fővárosi Törvényszék megállapította, hogy a NAIH jogszerű döntést hozott, ezért a Honvédkórház keresetét a Kp. 88. § (1) bekezdés a) pontja alapján, mint alaptalant, elutasította.

(naih.hu)



Kapcsolódó cikkek

2024. szeptember 27.

Ruszofóbiával bővül az orosz btk.

Az orosz hatóságok a ruszofóbia-tétellel bővítenék a Büntető törvénykönyvet. Az ezzel kapcsolatos törvénymódosítási tervezet már el is készült.

2024. szeptember 27.

Magyarország az Európai Mestersége Intelligencia Testület első elnöke

Az Európai Unióban augusztusban lépett hatályba az „AI Act”, azaz a Mesterséges Intelligencia (MI) Rendelet, amely jogszabály célja, hogy egyensúlyt teremtsen a technológiai fejlődés előmozdítása és a biztonságos alkalmazás feltételeinek garantálása között.

2024. szeptember 27.

110 éves a Pesti Központi Kerületi Bíróság

2024. szeptember 1-jén volt 110 éve, hogy – az 1913. évi XXV. törvénycikk alapján – megkezdte működését a Pesti Központi Kerületi Bíróság jogelődjének tekinthető Budapesti Központi Királyi Járásbíróság. E hónapban azonban nem csupán a szervezet lett 110 esztendős, hanem a Jablonszky Ferenc által tervezett épület is. Az Országos Bírósági Hivatal „Ráth György Bírósági Történelem és Hagyományápolás Pályázat 2024.” című projektjének keretében, az OBH támogatásával megvalósult rendezvényeken emlékeztek meg az egyik legtekintélyesebb hazai bíróság bírái, igazságügyi alkalmazottai és az érdeklődők az 1914 óta eltelt 11 évtizedről.