Megbírságolta a NAIH a BRFK-t
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH azért szabott ki 5.000.000 forint bírságot, mert a BRFK az adatvédelmi incidens bejelentésére a GDPR által előírt határidőt többszörösen túllépte és mulasztását nem tudta igazolni.
Az alapügy
Ami a tényállást illeti, a Budapesti Rendőr-főkapitányság (BRFK) 2019. február 25-én tette bejelentést a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) arról, hogy egy rendőr 2019. január 11-én vidékre utazása során elhagyott egy szolgálati pendrive-ot, amelyen a BRFK összes munkatársának személyes adatai voltak, illetve a rendvédelmi dolgozók szolgálati jogviszonyváltására vonatkozó minden információ.
A BRFK szerint a teljes állomány érintett az ügyben, amely 1733 főt tett ki. A BRFK tájékoztatása szerint a rendőr a személyes adatokat tartalmazó dokumentumokat nem a szolgálati, hanem magáncélra használt adathordozójára másolta át, és nem alkalmazott semmilyen informatikai biztonsági intézkedést, így az bárki számára hozzáférhető, ha az eszközt számítógéphez csatlakoztatják. A rendőr ezen magatartásával megszegte a ORFK Informatikai Biztonsági Szabályzatáról szóló 18/2018. (V. 31.) ORFK utasításában foglaltakat, ezért a Budapest rendőrfőkapitánya fegyelmi eljárás lefolytatását rendelte el.
A pendriveon található anyagok csak másolatok voltak, ezért azok más forrásból továbbra is elérhetőek maradtak a BRFK szerint.
A BRFK beszámolója szerint az érintett rendőr kihelyezett ülésen vett részt, ahol használta a pendriveot, majd azt a szolgálati gépjárműve indítókulcsán helyezte el, a kulcsot pedig a szállodai szobájába vitte.
A kétnapos kihelyezett ülés végén a rendőr visszatért budapesti szolgálati helyére és ekkor észlelte, hogy az adathordozó már nincs rajta az indítókulcs karikáján. Az elvesztés felfedezését követően még aznap jelentette a pendrive elveszítését közvetlen szolgálati elöljárójának. Az incidensről szóló jelentést 2019. január 14-én 07:30-kor készítette el, amelyet ezután leadott Budapest rendőrfőkapitányának. A szolgálati elöljáró tehát már 2019. január 11-én tudomást szerzett az incidenst bekövetkezéséről, amelyet a pendriveot elvesztő rendőr 2019. január 14-én jelentésében írásban is megerősített.
A rendőr felhívta munkatársát, aki még a szállodában tartózkodott, a szálloda recepcióját és az éttermet is, ahol útközben megállt, de a pendrive nem került elő. A pendrive megtalálásról még többször érdeklődött, de sajnos nem került elő az adathordozó.
A pendirveon a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló 2015. évi XLII. törvény (Hszt.) 2019. január elsejei változására tekintettel a BRFK állományában dolgozó közalkalmazottak adatai voltak, akiknek a közalkalmazotti jogviszonya, a módosítás hatálybalépésével, rendvédelmi igazgatási jogviszonyra változott.
A vezetői értekezletre az adathordozón szereplő állománytáblában feltüntetett személyek adatai azért másolták át, hogy az értekezleten részt vevő, munkáltatói jogkört gyakorló vezetők, részére bemutathassák az állományukba tartozó munkavállalók egyénre szabott rendvédelmi igazgatási szolgálati jogviszonyban történő jogviszonyváltásának tervezetét.
Az adathordozón a mintegy 1733 érintett születési neve, születési ideje, anyja neve, TAJ száma, beosztása és munkakör szerepelt.
A BRFK előadta, hogy az adatokhoz való jogosulatlan hozzáférésről nincs tudomása, illetve nem érkezett bejelentés a pendrive megtalálásáról vagy az adatokkal való visszaéléssel kapcsolatban.
A BRFK feltételezése szerint az adathordozó az elveszítésének időpontjában fennálló időjárási körülmények miatt (hó, fagy, sáros környezet) megsemmisült. A nem megfelelően védett, átmásolt adatok elveszítésén túl így további biztonsági esemény (pl. jogosulatlan hozzáférés, nyilvánosságra hozatal) az adatokkal kapcsolatban nagy valószínűséggel nem történt.
A BRFK az ügyet adatvédelmi incidensként kezelte és azt felvette a saját incidens nyilvántartásába.
A hasonló esetek elkerülése érdekében a BRFK belső ellenőrzést folytatott le, hogy az adatok tárolására szolgáló külső adathordozók nyilvántartása, kezelése, átadás-átvételének dokumentálása, megsemmisítése az ideiglenes adatvédelmi szabályzatról szóló 15/2018. (V. 25.) számú ORFK utasításban foglaltaknak megfelelően történjen. Ennek keretében az adathordozó elvesztéséről készített jelentést 2019. január 28-án 07:30-kor átadták a BRFK adatvédelmi tisztviselőjének, illetve a parancsnoki kivizsgálás is zajlott, amelyet 2019. február 8-án zártak le.
A BRFK adatvédelmi tisztviselője a parancsnoki kivizsgálás befejezését követően 2019. február 8-án 13:50-kor kereste meg az ORFK-t, melyben állásfoglalást kért arról, hogy az adatvédelmi incidens az érintettek jogait és szabadságait érintően milyen szintű kockázattal jár. Az ORFK 2019. február 12-én 15:45-kor küldte meg válaszát a BRFK részére.
Az ORFK állásfoglalása szerint a bekövetkezett incidens kockázatosnak tekinthető, mivel abban nem csak közérdekből nyilvános adatok (név, beosztás), hanem más, egyébként nem nyilvános adatok is (születési adatok, TAJ szám) érintettek.
Az adatokhoz való jogosulatlan hozzáférés, nyilvánosságra hozatal, vagy közlés az ORFK szerint nem állapítható meg, továbbá az incidensben különleges adatok sem érintettek, amely a kockázatokat mérséklő körülmény. Az adatok elveszítésén túl azonban, a folyamatos bizalmassági sérülésnek való kitettség kockázata indokolja az ORFK megítélése szerint, hogy az incidenst be kell jelenteni a NAIH-nak.
Az ORFK válaszában kifejtette, hogy az eljáró rendőr megsértette az ideiglenes adatvédelmi szabályzatról szóló 15/2018. (V. 25.) számú ORFK utasítás rendelkezéseit, amikor nem jelentette haladéktalanul az adatvédelmi incidenst a szervezeti egység vezetőjének.
Ezen felül – az ORFK által javasoltakat is figyelembe véve – felhívta az állomány figyelmét az adatvédelemmel kapcsolatos szabályok mindenkori maradéktalan betartására.
A BRFK végül 2019. február 25-én adta fel postai úton az incidesbejelentésre szolgáló, a Hatóság honlapján megtalálható, a szükséges adatokkal kitöltött formanyomtatványt. Az incidensbejelentést tartalmazó levélküldemény 2019. február 28-án érkezett meg a NAIH-hoz, amely jogsértést tapasztalt, így megindította hatósági eljárását.
A NAIH döntése
A NAIH elfogadta az ORFK kockázatértékelését és döntésében egyetértett a feltárt lehetséges kockázatokkal. A kockázatok értékelése során a NAIH a GDPR (75) preambulum bekezdésére hivatkozott, amely szerint az adatkezelésből, azaz jelen esetben az adatok pendrive-on való tárolásából, személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat, úgy az alapvetően kockázatosnak minősül. Az érintettek születési adatai, anyjuk neve és különösképpen TAJ száma (a név és munkahely, beosztás ismerete mellett) olyan adatok, amelyekkel elkövethető személyazonosság-lopás, személyazonossággal visszaélés.
A NAIH szerint jelen ügyben az adatok elveszítése valósult meg, tehát a biztonsági sérülés közvetlenül csak az elveszítést eredményezte, másfajta incidens megvalósulására (pl. jogosulatlan hozzáférés, nyilvánosságra hozatal) nem utal konkrét körülmény. Ennek ellenére a bizalmassági sérülés kockázata fennáll az ügyben, mivel az adathordozó és azon tárolt adatok nem voltak semmilyen technikai intézkedéssel védve a jogosulatlan hozzáféréstől.
A NAIH megállapította, hogy a kockázatos adatvédelmi incidens bejelentésére nem került sor a GDPR-ban meghatározott határidőben, vagyis indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens az adatkezelő tudomására jutott.
A NAIH a BRFK tájékoztatása alapján 2019. január 11-ét jelölte meg a tudomásszerzés időpontjaként. A NAIH és a 29-es Munkacsoport megítélése szerint a tudomásszerzés idejének megítélése szempontjából elég, ha olyan érdemi ügyintéző / elöljáró tudomására jut az incidens bekövetkezésének ténye az adatkezelőnél, aki azt nem maga okozta, és akinek minden lehetősége és eszköze megvolt a releváns döntéshozók, tisztviselők értesítésére.
Tehát a NAIH által működtetett online bejelentőrendszerre is tekintettel az incidenst legkésőbb január 14-én be kellett volna jelenteni. Ehhez képest a feladás dátumát igazoló postai pecsét szerint erre csak 2019. február 25-én került sor, tehát a tudomásszerzés és a bejelentés között összesen 45 nap telt el, amely az előírt bejelentési határidő tizenötszörös túllépését jelenti.
A késedelmes bejelentést a BRFK azzal indokolta, hogy az ügy teljes körű parancsnoki kivizsgálására volt szükség, valamint állásfoglalást kért az ORFK-tól arra vonatkozóan, hogy az incidens az érintettek jogai és szabadságai tekintetében milyen kockázatúként értékelhető. A parancsnoki kivizsgálás az ügyben 2019. február 8-án zárult le, az ORFK állásfoglalása pedig 2019. február 12-én 15:45-kor került kézbesítésre az Ügyfél részére.
A NAIH kiemelte, hogy a BRFK január 11-én értesült az incidensről, ezért az egyeztetést, akár telefonon keresztül is gyorsan le kellett volna folytatni és az incidenst be lehetett volna jelenteni. A NAIH felhívta a figyelmet, hogy a 72 órás bejelentési határidő számítása szempontjából irreleváns, hogy az incidens pénteki napon történt és ezért az incidensbejelentési határidő hétvégi napokat is magába foglalt. Ez különösen azért is igaz, mivel a rendőrség olyan kiemelt jelentőségű rendvédelmi feladatokat ellátó államigazgatási szervként működik, amelynek gyakorlatilag az év minden napján, napi 24 órában működik.
A NAIH nem fogadta el a BRFK késedelmes bejelentésre vonatkozó érvelését sem, mivel álláspontja szerint a parancsnoki kivizsgálás eredményének bevárása nem volt szükséges az incidens bejelentéséhez, mivel annak fő célja a munkavállaló fegyelmi felelősségének megállapítása volt.
A NAIH az ORFK kockázatértékeléssel kapcsolatos válaszának bevárását sem fogadta el. Döntésének indokolása szerint a BRFK működése során nagy számban kezel rendkívül érzékeny, önmagában is magas kockázatot jelentő személyes adatokat bűnüldözési célból, amelyek rendkívül érzékeny adatoknak minősülnek, ezért elvárható, hogy az adatvédelmi tudatosság szintje rendkívül magas legyen.
A fentiek alapján elvárható, hogy ha egy adatvédelmi incidens a BRFK tudomására jut, azzal kapcsolatban önállóan el tudja végezni a kockázatok értékelését és mérlegelni tudja, hogy az bejelentési kötelezettség alá esik-e vagy sem. Ez főként igaz a jelen ügy tárgyát képező esetre, ahol gyakorlatilag a tudomásszerzés időpontjában valamennyi releváns adat rendelkezésre állt.
A NAIH kiemelte, hogy a bejelentés főszabály szerint kötelező, és csak akkor mellőzhető, ha valószínűsíthető, hogy az incidensnek semmilyen kockázata nincs az érintettekre nézve. A jelen ügyben azonban az incidens kockázatának megítélése is nehézséget okozott, amely már önmagában arra mutat, hogy a bejelentés szükséges.
A NAIH felhívta a figyelmet, hogy ha az adatkezelő nem teljesen biztos a kockázatok értékelését illetően, illetve ennek lefolytatására még nem áll rendelkezésére valamennyi információ, azt azonban már nagy valószínűséggel meg tudja állapítani, hogy adatvédelmi incidens történt, akkor a bejelentés szakaszos megtétele is elfogadható megoldás.
Jelen esetben a NAIH úgy értékelte, hogy az incidens technikai szempontból viszonylag egyszerű megítélésű volt és a legtöbb adat már a tudomásszerzés időpontjában rendelkezésre állt, így a 72 órán belüli – akár szakaszos – bejelentéstétel feltételei adottak voltak és nem volt annak akadálya annak sem, hogy a BRFK később kiegészítse az incidensbejelentését a parancsnoki kivizsgálás eredményével, illetve az ORFK-tól kért állásfoglalással.
A NAIH a BRFK terhére rótta, hogy az adatvédelmi tisztviselő értesítésére is csak késedelmesen került sor, illetve, hogy a BRFK az adatvédelmi incidens kezelésével kapcsolatban nem csak GDPR-ban foglaltakat, hanem saját belső eljárásrendjét sem tartotta be. A NAIH szintén súlyosbító körülményként hivatkozott arra, hogy az eset indokolatlan késedelem nélküli bejelentésére még akkor sem került sor, amikor a BRFK már megkapta az ORFK-tól a kért állásfoglalást 2019. február 12-én, hiszen a tényleges bejelentés megtételével még innen számítva is további 13 napot várt.
A fentiek alapján a NAIH megállapította, hogy a BRFK megsértette a GDPR 33. cikk (1) bekezdésében foglalt kötelezettségét, mivel az alapvetően kockázatos adatvédelmi incidenst nem jelentette be a tudomásszerzést követően indokolatlan késedelem nélkül.
A jogsértés miatt a NAIH végül 5.000.000,- Ft adatvédelmi bírságot szabott ki a BRFK-ra.
Az adatvédelmi bírságot kiszabó határozat közzétételét követően a BRFK 2019. július 16-án sajtóközleményben közölte, hogy a pendrive-ot végül megtalálták az azt elvesztő rendőr szolgálati gépjárművében, amelyet rajta kívül senki nem használhat, ezért az adatvédelmi incidens be sem következett.
(naih.hu)