Kiszivárogtak a karanténban lévők adatai Koronavírus


A lengyel adatvédelmi hatóság (UODO) elnöke, hivatalból vizsgálatot rendelt el azt követően, hogy a koronavírus miatt karantén alá vont személyek személyes adatai tömegesen váltak hozzáférhetővé illetéktelen személyek számára. 


Az UODO bírságot szabott ki a jogsértést elkövető hulladékkezelő cégre és kötelezte a társaságot, hogy tájékoztassa az érintetteket a jogsértésről.

Az UODO a gnieznói állami egészségügyi felügyelettől (a továbbiakban: PPIS Gniezno-ban) érkezett bejelentésből szerzett tudomást egy olyan nyilvános listáról, amely tartalmazta a határátlépés miatt karanténban lévő, valamint a diagnosztizált koronavírus fertőzés miatt otthonukban elkülönített személyek címét.

Az UODO felkérte az adatkezelőt annak tisztázására, hogy a koronavírus veszélye miatt karanténba került személyek lakcímeire vonatkozó személyes adatok kezelésére vonatkozó eljárásrend meghatározása során elvégezte-e a fent említett adatok papír alapú és elektronikus terjesztésére vonatkozó kockázatelemzést, az adatok bizalmas jellegének sérülésével járó kockázatok szempontjából, és tájékoztatta-e az érintetteket a kockázatelemzés eredményéről.

Az adatkezelő társaság arról tájékoztatta a hatóságot, hogy többek között elvégezte a kockázatelemezést a személyes adatoknak az adatkezelő általi, a hatályos szabályozásnak meg nem felelő módon történő kezelésre, valamint a személyes adatok ellopására és jogellenes elvitelére vonatkozóan.

Ezenkívül az adatkezelő jelezte, hogy a kapott listák csak címeket tartalmaztak, neveket, vezetékneveket és egyéb azonosítható adatokat nem. Az ügy összes körülményének megvizsgálását követően az UODO arra a következtetésre jutott, hogy a település neve, az utca neve, és a házszám, illetve a lakás száma a GDPR alapján személyes adatnak minősül, az a tény, hogy az érintett karanténban van, az egészségre vonatkozó személyes adat, amely a GDPR szerinti különleges személyes adatnak minősül.

A személyes adatok alapján lehetséges az érintettek azonosítása, ezért az adatkezelőre a GDPR-ból eredő kötelezettségek vonatkoznak. Az UODO azt is figyelembe vette, hogy a kezelt adatok bizalmas jellegét megsértette az adatkezelő, amikor a kinyomtatott listákat megfelelő felügyelet nélkül az asztalon hagyták a munkavállalók a feladatuk ellátása közben. Egy másik alkalmazott pedig lefényképezte a szóban forgó listát, és azt megosztotta egy másik személlyel.

Az UODO véleménye szerint a kockázatelemzésben feltüntetett biztosítékok túl általánosan vannak megfogalmazva, és nem kapcsolódnak a jogosultsággal rendelkező alkalmazottak által végzett adatkezelési tevékenységekre.

A kockázatelemzés többségében a különböző nyilatkozatok és dokumentumok munkavállalók általi aláírását rögzíti, amely nem elegendő és nem arányos a különleges személyes adatok, nevezetesen a karanténba helyezett személyek címének kezelésével járó kockázatokkal.

Ezenkívül a kockázatelemzés során az adatkezelőnek figyelembe kell vennie mind a kezelt személyes adatok különleges jellegét, mind az emberi tényezőt, azaz a meggondolatlanságot, gondatlanságot vagy a kellő gondosság hiányát, amely a személyes adatok kezelésével kapcsolatos egyik kockázati tényező.

Az UODO szerint az egyszeri és a felületes kockázatelemzéssel az adatkezelő nem tett megfelelő technikai és szervezési intézkedések a személyes adatok kezelésével járó biztonsági kockázatokkal kapcsolatosan, illetve nem vizsgálta felül rendszeresen a bevezetett intézkedések hatékonyságát. A GDPR 33. cikkének (1) bekezdése kimondja, hogy „az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.”

Az adatkezelő köteles lett volna bejelenteni a jogsértést az UODO elnökének, azonban ezt elmulasztotta. Ezenkívül a természetes személyek jogainak vagy szabadságainak a személyes adatok sérelme miatt fennálló magas kockázata esetén az adatkezelő köteles indokolatlan késedelem nélkül az érintettet is tájékoztatni az incidensről. Az adatkezelő köteles minden egyes érintettet egyedileg tájékoztatni a személyes adataikat érintő incidensről, kivéve, ha ez aránytalan erőfeszítéssel járna.

Amennyiben az érintettek egyedi tájékoztatása lehetetlen az adatkezelő köteles nyilvános közleményt közzétenni, vagy hasonló intézkedést tenni az érintettek megfelelő tájékoztatása érdekében. A lakcím és az egészségügyi adatok illetéktelen címzettekkel történő közlése magas kockázattal járt a karanténban lévő személyek jogaira és szabadságaira nézve.

Ennek ellenére a Társaság nem tájékoztatta az érintetteket a személyes adatok megsértéséről.

A fentiekre tekintettel az UODO elnöke megállapította a GDPR rendelkezéseinek megsértését, bírságot szabott ki az adatkezelőre és elrendelte, hogy az adatkezelő tájékoztassa az érintetteket a bekövetkezett incidensről.

Az a tény, hogy az adatkezelő fegyelmi eljárást indított azokkal az alkalmazottakkal szemben, akik részt vettek a jogsértésben, és a járványügyi helyzet ellenére az adatkezelő elkötelezte magát a munkavállalók személyes adatok védelméről szóló képzésének biztosítása mellett, enyhítő körülménynek tekinthető. de a végleges döntést nem befolyásolja.

(edpb.europa.eu)




Kapcsolódó cikkek

2021. szeptember 17.

Minden olasz munkavállalónak védettnek kell lennie

Az olasz kormány csütörtökön fogadta el a világ legszigorúbb koronavírus-elleni intézkedéseit, amely minden munkavállaló számára kötelezővé teszi a koronavírus elleni védettség igazolását, a negatív tesztet vagy a fertőzésből való gyógyulást.

2021. szeptember 16.

Magyarország megsértette a külföldiek kollektív kiutasításának tilalmát

Az ügy középpontjában a magyar államhatárról szóló törvény által bevezetett “feltartóztatás és átkísérés” intézkedés áll, amely felhatalmazást nyújtott a rendőrség számára, hogy a Magyarország területén illegálisan tartózkodó külföldi állampolgárokat határozat nélkül a határkerítés külső oldalára (a szerb határra) szállítsa. Az eljárás során Magyarország megsértette a kollektív kiutasítás tilalmát, mivel egyedi határozat hiányában a kérelmezőt, magatartásától függetlenül, 11 társával együtt kitoloncolta anélkül, hogy valódi és hatékony módot biztosított volna számukra a Magyarországra való beutazásra, illetve a megfelelő jogorvoslatra.