Betegek adatai kerültek jogellenesen nyilvánosságra Koronavírus

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Súlyos adatvédelmi incidenst történt tavaly Budapest Főváros Kormányhivatalánál, amelynek következtében 1153 beteg személyes és egészségügyi adatai váltak jogellenesen hozzáférhetővé illetéktelen személyek számára. A NAIH 10.000.000,- Ft adatvédelmi bírságot szabott ki.

A NAIH 10.000.000,- Ft adatvédelmi bírságot szabott ki Budapest Főváros Kormányhivatalára, mert a XI. Kerületi Hivatalból betegek személyes és egészségügyi adatai szivárogtak ki.

A Hatósághoz egy magánszemély e-mail címéről közérdekű bejelentés érkezett, amelyhez a bejelentő egy neki továbbított e-mail üzenetet és annak mellékleteként egy Excel táblázatot csatolt. A közérdekű bejelentéshez csatolt eredeti e-mailt és táblázatot 2020. április 14-én Budapest Főváros Kormányhivatala, XI. Kerületi Hivatala, Hatósági Főosztály, Népegészségügyi Osztálya (továbbiakban: BFKH) küldte meg Budapest XI., XII. és XXII. kerülete valamennyi felnőtt háziorvosa és házi gyermekorvosa részére.

A közérdekű bejelentő egyébként nem volt az eredeti üzenet címzettje, azt neki is csak közvetetten továbbították magán e-mail címére egy szintén másik magán e-mail címről. Az e-mail üzenethez mellékelt Excel táblázat 1153 sorban tartalmazza betegek személyes adatait, így a beteg teljes nevét, lakcímét (város, kerület, utca, házszám, emelet, ajtó pontossággal, néhol a kapucsengő száma és azon szereplő név is feltüntetésre került), a beteg mobil és/vagy vezetékes telefonszámát, születési dátumát, foglalkozását, néhol munkahely és végzettség megjelöléssel, körzeti orvos nevét és címét, pecsétjének számát, a Covid-19 gyorsteszt eredményét (pozitív/negatív), a tünetek részletes leírását (pl. lázas, köhög x napja, hőemelkedés, hányás, hasmenés, légszomj, szag és ízérzékelés elveszítése, testhőmérséklet, fájdalmak leírása stb.), tesztelés dátumát napra pontosan, illetve egyéb megjegyzéseket (pl. „3 hete Ausztriában járt munkaügyben”, „tengerjáró hajón dolgozott: USA, Dél-Amerika több országa”, „Izraelből jött haza”, „édesapja Covid-19-ben exitált a hétvégén” stb.).

Az e-mail szövege alapján Budapest Főváros Kormányhivatala Népegészségügyi Főosztálya által a Covid-19 járványhoz kapcsolódó megbetegedésekkel kapcsolatosan az Országos Mentőszolgálat által 2020. március 20. és 2020. április 12. közötti időszakban levett minták adatait tartalmazza a fenti budapesti kerületek lakossága kapcsán az Excel táblázat. Az e-mail szerint továbbá a megküldött adatok mennyiségére az egészségügyi szolgáltatók egyéni tájékoztatása nem biztosítható, ezért a feladó felhívja az eredetileg címzett háziorvosok figyelmét az adatok bizalmas kezelésére. Az Excel fájl hozzáférésvédelemmel (pl. jelszó) nem volt ellátva.

A Hatóság a közérdekű bejelentésre és a mellékelt táblázatban található különleges személyes adatokra tekintettel hatósági ellenőrzést indított. Az ellenőrzés során a BFKH előadta, hogy az Országos Mentőszolgálat 2020. március 19. napját követően kezdte alkalmazni a gyakorlatban az új koronavírus okozta megbetegedések kimutatására a gyorsteszteket. A gyorstesztek által kimutatott eredmények továbbításáról 2020. április 8. napja előtt egységes álláspont nem született. A BFKH elmondása szerint a helyzetét az is nehezítette, hogy az érintettek a tesztelés helyszínén azt az információt kapták, hogy az eredménnyel kapcsolatban háziorvosuknál érdeklődhetnek. A háziorvosok viszont a BFKH-nál érdeklődtek az eredmények iránt. A háziorvosok érdeklődésére történt meg az egyszeri e-mailes adattovábbítás, amelynek mellékletét képezte az érintettek és háziorvosaik adatait tartalmazó Excel táblázat.

A BFKH a NAIH végzésének kézhézvétele előtt nem minősítette az e-mail fenti módon való elküldését adatvédelmi incidensnek, az adattovábbítás adatvédelmi aggályairól külön jelzés alapján sem értesült. A NAIH végzésének kézhezvétele után azonban kikérte a saját adatvédelmi tisztviselőjének véleményét, amely szerint viszont az egészségügyi adatoknak olyan módon történő megküldése a háziorvosok részére, hogy nem történt meg azok körzetenkénti leválogatása az általános adatvédelmi rendelet 4. cikk 12. pontja szerint minősülő adatvédelmi incidenst eredményezett. Az adatvédelmi tisztviselő szerint az Ügyfél nem mentesülhet a háziorvosok mihamarabbi értesítésének elsőbbségére hivatkozva az alól, hogy a célhoz kötöttség és adattakarékosság általános adatvédelmi rendeletben foglalt alapelveinek megfelelően a személyes adatokat csak az azok megismerésére jogosult címzett ismerhesse meg. Jelen ügyben az adott háziorvos csak a vele orvos-páciens viszonyban lévő érintettek adatait ismerhette volna meg, más betegek adatait nem.

A BFKH álláspontja szerint sem érhette jogsérelem az érintetteket, mivel a járványügyi helyzetben – az arányosság elvére tekintettel – a potenciális fertőzöttek figyelmeztetése, ezáltal a lakosság megóvása nagyobb előnnyel járt, mint az adatok visszatartása a háziorvosoktól. A BFKH ettől függetlenül felhívta a táblázatot megkapó háziorvosokat, hogy a nem a körzetükbe tartozó betegek adatait töröljék.

A NAIH döntése

A NAIH egyetért a BFKH adatvédelmi tisztviselőjének azon véleményével, hogy a betegadatokat tartalmazó táblázat oly módon történő továbbítása a háziorvosok részére, hogy abban körzetenkénti válogatás nélkül szerepelnek az érintettek adatai adatvédelmi incidenst eredményezett. Ennek oka, hogy a megfelelő és a kockázatokkal arányos biztonsági intézkedések hiánya miatt a nagyszámú érintett egészségügyi adatait tartalmazó adatbázisban szereplő valamennyi adat olyan címzettek számára is megismerhetővé vált, akik egyébként az adatok töredékének (így csak, akivel ténylegesen orvos-páciens viszonyban vannak) megismerésére lennének jogosultak. Az intézkedések hiánya egyébként később azt is lehetővé tette, hogy a nagyszámú egészségügyi adatot olyanok is megismerjék, akik egyáltalán nem tartoznak a címzetti körbe (pl. a közérdekű bejelentő magánszemély, vagy a NAIH). A megfelelő biztonsági intézkedések hiánya és az adatokhoz való jogosulatlan hozzáférések között így közvetlen ok-okozati összefüggés áll fenn – állapította meg a NAIH.

A NAIH álláspontja szerint azonban önmagában a háziorvosok figyelmének felhívása a személyes adatok bizalmas kezelésére, nem elégséges intézkedés a bizalmasság és az adatok biztonságos kezelésének garantálása érdekében.

A BFKH az incidens kapcsán utólagosan elvégzett kockázatértékelése szerint az incidens nem járt kockázattal a természetes személyek jogaira és szabadságaira nézve, így annak bejelentését a NAIH felé szükségtelennek tartotta. Ennek indokaként azt jelölte meg, hogy a táblázat kizárólag háziorvosok részére került megküldésre, így az érintetteket komoly jogsérelem nem érhette.

A NAIH megítélése szerint a nagyszámú érintett egészségügyi adatainak kezelése magas kockázatúnak tekinthető a GDPR előírásai alapján. A táblázatban szereplő adatkör rendkívül széles, gyakorlatilag teljesen egyedileg azonosíthatóvá tesz egy-egy pácienst, az adatok alapján sokszor konkrét diagnózis állítható fel a kezelt személlyel kapcsolatban. Az ilyen adatok megfelelő biztonsági intézkedések nélküli megosztása harmadik felekkel rendkívül magas kockázatokkal jár az érintettek magánszférájára nézve. A kockázatokat ugyan kis mértékben csökkenti, de nem zárja ki teljes mértékben, ha magukat az egészségügyi adatokat csak szakmai titoktartásra kötelezett címzetti kör (orvosok) ismeri meg. Ennek oka, hogy az érzékeny egészségügyi adatok jogosulatlan harmadik személynek történő elküldése után az adatkezelő ráhatása azok sorsára kikerül az ellenőrzése alól. A címzettek utólagos felhívása az adatok törlésére sem zárja ki teljes mértékben a kockázatokat, csupán valamelyest csökkenti azokat. A fenti érvelést alátámasztja, hogy az egészségügyi adatokat tartalmazó táblázatot az eredetileg a címzettek között nem szereplő közérdekű bejelentő, majd a NAIH is megkapta, az adatok (jogellenes) nyilvánosságra kerülésével járó kockázat így rendkívül magas.

A NAIH továbbá az adatvédelmi incidens által jelentett kockázatokat tovább növelő tényezőnek tekinti, hogy az érintettek egészségügyi adatait tartalmazó Excel táblázat semmilyen hozzáférésvédelemmel, titkosítással nem volt ellátva. A megfelelő adatbiztonsági intézkedések alkalmazása csökkentette volna annak a kockázatát, hogy az egészségügyi adatokat az azokat megkapó harmadik személyek (pl. a közérdekű bejelentő) jogosulatlanul ne ismerhessék meg.

A BFKH a titkosítás, vagy más hozzáféréskontroll nélkül e-mailben elküldött nagyszámú egészségügyi adat címzettek általi – adott esetben jogellenes – továbbkezelésével járó kockázatokat csak úgy tudja még tovább csökkenteni, ha arról az érintetteket is tájékoztatja. Az érintettek így meg tudják tenni azokat a további szükséges óvintézkedéseket a személyes adataikkal kapcsolatban, amelyekre az adatkezelő már nem rendelkezik ráhatással. A tájékoztatás elősegíti azt, hogy ezen rendkívül érzékeny személyes adataik kezelésével elkövetett esetleges további visszaélésekre az érintettek is kellő időben fel tudjanak készülni, azok ne érjék őket váratlanul.

Az incidensről való tájékoztatás miatt például az érintettet nem fogja teljesen váratlanul érni, ha a korábban a Covid-19 teszt miatt megadott és a BFKH kezelésében lévő egészségügyi adataival valamely olyan másik (jogellenes) adatkezelőnél találkozik, amelynek azokat korábban sohasem adta meg (pl. egészségügyi szolgáltatás ajánlása direkt marketing módszerekkel).

A NAIH a fentiekre tekintettel megállapítja, hogy a BFKH megsértette a GDPR 34. cikk (1) bekezdését és egyben felszólította a BFKH-t arra, hogy az érintetteket is tájékoztassa a bekövetkezett adatvédelmi incidensről.

A NAIH megítélése alapján a nagyszámú érintett egészségügyi adatainak leválogatás nélküli továbbítása e-mailben egy egyszerű Excel táblázatban, bármilyen hozzáférésvédelem, vagy titkosítás alkalmazása nélkül nem felel meg jelen esetben a magas kockázatú adatkezeléssel jelentett kockázatokkal arányos adatbiztonság szintjének. Az egészségügyi adatok orvosoknak A megfelelő védelem alkalmazása nélkül ugyanis nem lehet azt a tudomány és technológia állása szempontjából is elégséges szinten garantálni, hogy a kezelt személyes adatok ne kerüljenek jogosulatlanul nyilvánosságra, vagy azokhoz ne lehessen jogosulatlanul hozzáférni.

A NAIH megítélése szerint amennyiben a BFKH az adatok körzetek szerinti leválogatását és legalább jelszavas védelmet, továbbá a jelszó külön csatornán való megküldését alkalmazta volna a fájllal kapcsolatban, úgy az ügyben az adatbiztonság sérelme és emiatti adatvédelmi incidens sem következett volna be. A természetes személyek alapvető jogainak, így személyes adataik védelme szempontjából a Covid-19 járvány miatti veszélyhelyzet nem adhat teljes felmentést a megfelelő adatbiztonsági előírások betartása alól.

A NAIH felhívta a figyelmet, hogy az egészségügyi adatok továbbításával kapcsolatban egyáltalán nem tartja jó gyakorlatnak azok egyszerű Excel táblázatban, titkosítás nélkül, e-mailben történő elküldését. Erre sokkal biztonságosabb megoldást kínál egy erre a célra létrehozott, biztonságos platform (pl. az Egészségügyi Elektronikus Szolgáltatási Tér) használata.

A fentiekre tekintettel a NAIH 10.000.000,- Ft adatvédelmi bírság megfizetésére kötelezte a BFKH-t, mint adatkezelőt.

(naih.hu)

---