Adatvédelmi incidens a Kutyapártnál

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 3.000.000,- Ft adatvédelmi bírságot szabott ki a Kutyapártra, mert nyilvánosan elérhetővé vált az aktivistáik elérhetősége és a Kutyapárt nem igazolta, hogy erről tájékoztatta az érintetteket, illetve, hogy nem válaszolt a NAIH-nak arra, hogy milyen adatbiztonsági intézkedéseket tett az adatok védelme érdekében.

A Magyar Kétfarkú Kutyapárt (a továbbiakban: Kutyapárt) adatvédelmi incidensbejelentést tett, mert értesült arról, hogy összesen hat darab Excel fájlt – amelyek korábban a Kutyapárt kezelésében voltak – közvetlenül, bárki számára hozzáférhető módon elérhetővé tettek az interneten.

A bejelentés alapján a táblázatok a Kutyapárt pártoló tagjainak névsorát és működési adatokat tartalmaznak, továbbá azokban elérhetőségi adatok is szerepelnek (telefonszám, e-mail címek, lakcímek, személyi igazolvány számok). Az adatvédelmi incidensben a Kutyapárt bejelentése alapján kb. 2000 érintett személyes adatai érintettek, köztük a 2018-as választási kampányba jelentkezők adatai, a párt pártoló tagjainak pontos adatai, a párt belső koordinátorainak és segítőinek neve, a párt 2022-es választási jelöltjeinek névsora. A Kutyapárt a bejelentéskor nem tudta még egyértelműen megállapítani, hogy az adatok kiszivárgása külső cselekmény (pl. hackertámadás), vagy belső szivárogtatás eredménye. Az incidenst követően a hozzáférést a fájlok megtekintéséhez a társelnökök kivételével mindenkitől megvonták.

A Kutyapárt az adatvédelmi incidensről a bejelentéskor nem tájékoztatta az érintetteket, de azt a jövőben tervezi, mivel a kockázatok szempontjából „jelentősnek” ítélte azt.

A NAIH döntése

A NAIH megítélése szerint az incidenssel érintett adatkezelés, így a politikai párt tagjai, szimpatizánsai és aktivistái személyes adatainak (pl. azonosító adatok, elérhetőségek, párttal kapcsolatos tevékenységek) kezelése magas kockázatúnak minősül a GDPR alapján.

A NAIH megállapította, hogy a táblázatban szereplő adatkör alapján egyedileg nagyon könnyen beazonosíthatóvá válhatnak a párttal szimpatizáló, annak működése során különböző feladatokat ellátó érintettek az elérhetőségi adatoknak a nevekkel és pártszimpátiával való együttes kezelése miatt. Az adatok bizalmasságának sérülése magas kockázatokkal jár az érintettek magánszférájára nézve, mivel valamely politikai szervezethez tartozás – még ha esetleg múltbéli is – mindenképpen az adott személy politikai véleményét tükrözi.

Az adatkezelés kockázatait végül az is növeli, hogy nagyszámú, több mint 2000 érintett személyes adatai kerültek együtt kezelésre a táblázatokban.

A NAIH álláspontja szerint az érintettekhez köthető azonosító adatok és politikai véleményt is tükröző adatok a Google Sheets online, ingyenesen elérhető szolgáltatás keretei közötti kezelése abban a formában, ahogy az jelen ügyben megvalósult, nem felel meg a magas kockázatú adatkezeléssel jelentett kockázatokkal arányos adatbiztonság szintjének.

Mivel a Google Sheets online szolgáltatásából a fájlok egyszerűen exportálhatóak és lementhetőek a felhasználók helyi számítógépére, ezért ilyen nagyszámú hozzáférés bármilyen egyéb jogosultságkontroll (pl. a táblázathoz való jelszavas hozzáférés) nélküli biztosítása esetén nagyon valószínű annak a bekövetkezése, hogy az adatokhoz akár jogosulatlan személyek is hozzáférnek, vagy az előzetesen arra jogosult személy azt továbbküldi másoknak is, esetleg azokat önmaga hozza nyilvánosságra. A fájlok bizalmasságának megőrzése érdekében titkosítás alkalmazására sem került sor.

A fentiek alapján a NAIH azt állapította meg, hogy a Kutyapárt a megfelelő és a kockázatokkal arányos adatbiztonsági intézkedések hiányában végzett adatkezeléssel megsértette a GDPR 32. cikk (1) bekezdését és annak a)-b) pontjait, továbbá ezen cikk (2) bekezdését.

A különleges adatok nyilvánosságra kerülése összevetve az incidens körülményeivel a NAIH megítélése szerint magas kockázatú adatvédelmi incidenst eredményezett, amelyről az adatkezelő tudomásszerezése esetén köteles bejelentést tenni a GDPR 33. cikk (1) bekezdése alapján a felügyeleti hatóságnak.

A fentiekre tekintettel a NAIH megállapította, hogy az adatkezelő eleget tett az általános adatvédelmi rendelet 33. cikk (1) bekezdése alapján fennálló incidensbejelentési kötelezettségének, így ezzel kapcsolatban jogsértést nem állapított meg.

A Kutyapárt a többszöri adatszolgáltatásra való felszólítás ellenére sem igazolta a NAIH felé, hogy az adatvédelmi incidens kezelése kapcsán pontosan milyen intézkedéseket tett annak érdekében, hogy az általa folytatott adatkezelés megfeleljen a GDPR – az ügy szempontjából releváns – előírásainak. A NAIH többek között annak igazolását várta a Kutyapárttól, hogy az incidensben érintett adatkezelést hogyan alakította át, hogy a továbbiakban a kockázatokkal arányos adatbiztonsági intézkedéseket alkalmazzon a hasonló incidensnek jövőbeli elkerülése érdekében (GDPR 32. cikk), továbbá hogy az érintetteket a magas kockázatú adatvédelmi incidens kapcsán hogyan és milyen tartalommal tájékoztatta (GDPR 34. cikk).

Az Kutyapárt mint adatkezelő neki felróható elzárkózása miatt a NAIH nem tudta érdemben ellenőrizni a személyes adatok kezelésével kapcsolatos körülményeket, ez pedig szintén az GDPR által biztosított védelmi szint komoly csökkenéséhez vezet, amely végső soron az érintetteket hozza kiszolgáltatott helyzetbe.

A fenti jogsértések miatt a NAIH 3.000.000,- Ft adatvédelmi bírságot szabott ki a Kutyapártra és kötelezte a Kutyapártot, hogy igazolja, azt a NAIH felé, hogy az érintettek adatvédelmi incidensről való tájékoztatását a GDPR 34. cikkének megfelelően mikor, milyen formában és tartalommal tette meg, továbbá tájékoztassa arról a NAIH-ot, hogy az incidensben érintett adatkezelést hogyan alakította át annak érdekében, hogy arra kockázatokkal arányos adatbiztonsági intézkedéseket alkalmazzon.

(naih.hu)

---