Kiszivárogtak a karanténban lévők adatai Koronavírus


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A lengyel adatvédelmi hatóság (UODO) elnöke, hivatalból vizsgálatot rendelt el azt követően, hogy a koronavírus miatt karantén alá vont személyek személyes adatai tömegesen váltak hozzáférhetővé illetéktelen személyek számára. 

Az UODO bírságot szabott ki a jogsértést elkövető hulladékkezelő cégre és kötelezte a társaságot, hogy tájékoztassa az érintetteket a jogsértésről.

Az UODO a gnieznói állami egészségügyi felügyelettől (a továbbiakban: PPIS Gniezno-ban) érkezett bejelentésből szerzett tudomást egy olyan nyilvános listáról, amely tartalmazta a határátlépés miatt karanténban lévő, valamint a diagnosztizált koronavírus fertőzés miatt otthonukban elkülönített személyek címét.

Az UODO felkérte az adatkezelőt annak tisztázására, hogy a koronavírus veszélye miatt karanténba került személyek lakcímeire vonatkozó személyes adatok kezelésére vonatkozó eljárásrend meghatározása során elvégezte-e a fent említett adatok papír alapú és elektronikus terjesztésére vonatkozó kockázatelemzést, az adatok bizalmas jellegének sérülésével járó kockázatok szempontjából, és tájékoztatta-e az érintetteket a kockázatelemzés eredményéről.

Az adatkezelő társaság arról tájékoztatta a hatóságot, hogy többek között elvégezte a kockázatelemezést a személyes adatoknak az adatkezelő általi, a hatályos szabályozásnak meg nem felelő módon történő kezelésre, valamint a személyes adatok ellopására és jogellenes elvitelére vonatkozóan.

Ezenkívül az adatkezelő jelezte, hogy a kapott listák csak címeket tartalmaztak, neveket, vezetékneveket és egyéb azonosítható adatokat nem. Az ügy összes körülményének megvizsgálását követően az UODO arra a következtetésre jutott, hogy a település neve, az utca neve, és a házszám, illetve a lakás száma a GDPR alapján személyes adatnak minősül, az a tény, hogy az érintett karanténban van, az egészségre vonatkozó személyes adat, amely a GDPR szerinti különleges személyes adatnak minősül.

A személyes adatok alapján lehetséges az érintettek azonosítása, ezért az adatkezelőre a GDPR-ból eredő kötelezettségek vonatkoznak. Az UODO azt is figyelembe vette, hogy a kezelt adatok bizalmas jellegét megsértette az adatkezelő, amikor a kinyomtatott listákat megfelelő felügyelet nélkül az asztalon hagyták a munkavállalók a feladatuk ellátása közben. Egy másik alkalmazott pedig lefényképezte a szóban forgó listát, és azt megosztotta egy másik személlyel.

Az UODO véleménye szerint a kockázatelemzésben feltüntetett biztosítékok túl általánosan vannak megfogalmazva, és nem kapcsolódnak a jogosultsággal rendelkező alkalmazottak által végzett adatkezelési tevékenységekre.

A kockázatelemzés többségében a különböző nyilatkozatok és dokumentumok munkavállalók általi aláírását rögzíti, amely nem elegendő és nem arányos a különleges személyes adatok, nevezetesen a karanténba helyezett személyek címének kezelésével járó kockázatokkal.

Ezenkívül a kockázatelemzés során az adatkezelőnek figyelembe kell vennie mind a kezelt személyes adatok különleges jellegét, mind az emberi tényezőt, azaz a meggondolatlanságot, gondatlanságot vagy a kellő gondosság hiányát, amely a személyes adatok kezelésével kapcsolatos egyik kockázati tényező.

Az UODO szerint az egyszeri és a felületes kockázatelemzéssel az adatkezelő nem tett megfelelő technikai és szervezési intézkedések a személyes adatok kezelésével járó biztonsági kockázatokkal kapcsolatosan, illetve nem vizsgálta felül rendszeresen a bevezetett intézkedések hatékonyságát. A GDPR 33. cikkének (1) bekezdése kimondja, hogy „az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.”

Az adatkezelő köteles lett volna bejelenteni a jogsértést az UODO elnökének, azonban ezt elmulasztotta. Ezenkívül a természetes személyek jogainak vagy szabadságainak a személyes adatok sérelme miatt fennálló magas kockázata esetén az adatkezelő köteles indokolatlan késedelem nélkül az érintettet is tájékoztatni az incidensről. Az adatkezelő köteles minden egyes érintettet egyedileg tájékoztatni a személyes adataikat érintő incidensről, kivéve, ha ez aránytalan erőfeszítéssel járna.

Amennyiben az érintettek egyedi tájékoztatása lehetetlen az adatkezelő köteles nyilvános közleményt közzétenni, vagy hasonló intézkedést tenni az érintettek megfelelő tájékoztatása érdekében. A lakcím és az egészségügyi adatok illetéktelen címzettekkel történő közlése magas kockázattal járt a karanténban lévő személyek jogaira és szabadságaira nézve.

Ennek ellenére a Társaság nem tájékoztatta az érintetteket a személyes adatok megsértéséről.

A fentiekre tekintettel az UODO elnöke megállapította a GDPR rendelkezéseinek megsértését, bírságot szabott ki az adatkezelőre és elrendelte, hogy az adatkezelő tájékoztassa az érintetteket a bekövetkezett incidensről.

Az a tény, hogy az adatkezelő fegyelmi eljárást indított azokkal az alkalmazottakkal szemben, akik részt vettek a jogsértésben, és a járványügyi helyzet ellenére az adatkezelő elkötelezte magát a munkavállalók személyes adatok védelméről szóló képzésének biztosítása mellett, enyhítő körülménynek tekinthető. de a végleges döntést nem befolyásolja.

(edpb.europa.eu)




Kapcsolódó cikkek

2024. február 28.

A gyermekek jogellenes külföldre vitele

Európai előírások és konkrét nemzeti jogszabályok összevetéséről döntött az EU Bírósága egy különösen érzékeny témában, a gyermekek jogellenes külföldre vitelével kapcsolatban. Lényege a visszavitel iránti kérelmek elbírálására vonatkozó, a gyermekek érdekeit szolgáló gyors eljárások biztosítása.