Nem tájékoztatta megfelelően az érintettet a NEAK

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH által feltártak szerint a NEAK-nak az adatkezelési tájékoztatójában fel kellett volna tüntetnie, hogy az érintetti kérelmeket csak az érintett személyazonosságáról való meggyőződést követően teljesíti.

1. Az alapügy

A Kérelmező 2021. május 11-én kérelmet nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH), amelyben előadta, hogy 2021. március 25-én észlelte, hogy a https://vakcinareg.neak.gov.hu webhelyen a Nemzeti Egészségbiztosítási Alapkezelő (NEAK) „közzétette” azt az információt, hogy a Kérelmező regisztrált a COVID-19 elleni vakcinára: az oldalon a TAJ és a születési dátum megadásával bárki, aki ezen adatokat ismeri, lekérdezheti az érintett regisztrációjának érvényességét. A Kérelmező ezzel összefüggésben azt kifogásolta, hogy miért nem csak például az e-mail címére küldte meg a lekérdezés eredményét a Kérelmezett.

A Kérelmező még aznap, 2021. március 25-én elektronikus levélben a NEAK-hoz fordult, és tiltakozott a személyes adatai https://vakcinareg.neak.gov.hu webhelyen történő kezelése ellen. A 2021. május 7-én kelt, a NAIH-hoz 2021. május 11-én beérkezett kérelem időpontjáig, valamint a hiánypótlási felhívásra (NAIH-4820-2/2021) adott válasz keltéig, azaz 2021. június 21-ig, a Kérelmező nyilatkozata szerint semmilyen választ sem kapott a NEAK-tól.

A NEAK sem a megadott 30 napos határidőben, sem azt követően nem válaszolt a NAIH tényállástisztázó adatkérésére, ezzel az ügy érdemi lefolytatását akadályozta, ugyanakkor arról nem tájékoztatta a NAIH-ot, hogy mi a késedelem oka, és mikorra várható az érdemi válasz megküldése. Erre tekintettel a NAIH 2021. augusztus 13-án kelt, 2021. augusztus 17-én megküldött és a NEAK részére igazolható módon ugyanazon napon kézbesített végzésében ismételten felhívta a NEAK-ot a tényállás öt munkanapon belüli tisztázására, kifejezetten felhívva annak figyelmét a mulasztás lehetséges jogkövetkezményére (eljárási bírság). A NEAK az ismételt végzést igazolható módon átvette, de a felhívásnak továbbra sem tett eleget.

Erre tekintettel a NAIH 2021. szeptember 6-án 250 000, azaz kettőszáz-ötvenezer forint eljárási bírság megfizetésére kötelezte a NEAK-ot. Mivel a fentiek ellenére nem tett eleget a NEAK sem a tényállás tisztázási kötelezettségének, sem pedig az eljárási bírságot nem fizette meg, a NAIH 2021. november 24-én helyszíni szemlét tartott a NEAK székhelyén.

A szemle során – a NEAK elektronikus információs rendszerébe történő betekintés és próba lekérdezés útján – megállapítást nyert, hogy a Kérelmezett által a https://vakcinareg.neak.gov.hu/regisztracio/AdatkezelesiTajekoztato.pdf címen közzétett adatkezelési tájékoztatójában foglaltaknak megfelelően naplózta a lekérdező felületén keresztül történő adatkéréseket, és rendelkezett a Kérelmező 2021. április 6-án megküldött hozzáférési kérelmével érintett adatokkal.

a NEAK nevében eljáró, adatvédelmi és koordinációs főosztályvezető feladatkörét ellátó főosztályvezetője részére átadott jegyzőkönyvben írtaknak a NEAK jelen döntés véglegessé válásáig sem tett eleget, az érintetti joggyakorlás biztosítását igazoló dokumentumok másolatát nem küldte meg, valamint a NAIH végzésében megállapított eljárási bírság fizetési kötelezettségének sem tett eleget.

A NAIH döntése

A tiltakozáshoz való joggal kapcsolatban a NAIH a Kérelmező kérelmét elutasította, mert a NEAK-hoz intézett érintetti jog gyakorlására irányuló kérelmeit nem azonosítható módon, egyszerű elektronikus levél (e-mail) útján nyújtotta be, azonban a késedelmesen megküldött adatkezelői tájékoztatás értelmében már a NEAK eljárásrendjének megfelelő módon tudja benyújtani érintetti kérelmeit és gyakorolni érintetti jogait, így tényleges jogsérelem őt e vonatkozásban nem érte.

A hozzáféréshez való joggal kapcsolatosan a NAIH megállapította, hogy a NEAK, függetlenül attól, hogy a beérkezett kérelmet a GDPR 15. cikke szerinti hozzáférési kérelemnek tekintette-e vagy sem, köteles lett volna azt a 12. cikk (3) bekezdése szerinti határidőn belül, a (4) bekezdés szerinti tartalommal érdemben elbírálni. Ennek a NEAK által sem vitatott elmaradása miatt a NAIH 500.000,- Ft bírságot szabott ki a NEAK-ra.

A NAIH álláspontja szerint, amennyiben a NEAK meghatározott szabályok szerint, csak az érintett személyazonosságának kétséget kizáró megállapítását követően bírálja el érdemben az érintetti kérelmeket, úgy erről az előfeltételről a fenti tájékoztató(k)ban informálni lett volna szükséges az érintetteket. Mivel a NEAK az érintett azonosításának kötelezettségére vonatkozó, tehát az érintetti jogok gyakorlásának előfeltételére vonatkozó elvárásokat nem tette elérhetővé, megsértette a GDPR 5. cikkének (1) bek. a) pontja szerinti átláthatóság követelményét.

(naih.hu)

---