GDPR

Adatvédelem mindenkinek / Data protection for everyone

Egy elveszett és megkerült pendrive története

2019. július 26. 11:30 - poklaszlo

Tanulságok incidenskezeléssel kapcsolatban

Júniusban két újabb bírságot kiszabó határozatot hozott és tett közzé a Nemzeti Adatvédelmi- és Információszabadság Hatóság (NAIH). Egyik határozatában a BRFK-t marasztalta el a Hatóság incidenskezeléssel kapcsolatos hiányosságok miatt, míg a másik határozatban a törléshez való jog megsértése, illetve a nem kellően alátámasztott jogos érdekre alapozott adatkezelés vezetett a bírság kiszabásához. 

Jelen posztban a BRFK-t érintően hozott határozat főbb tanulságait mutatom be. 

A sajtóban is megjelent az elveszett, majd a NAIH határozat (NAIH/2019/2471) megjelenését követően megkerült pendrive esete.

Az adatkezelő 2019. február 25-én tett bejelentést adatvédelmi incidensről, amely szerint 2019. január 11-én az egyik munkatársuk az adattárolásra használt pendrive-ot elveszítette. Az adathordozón megtalálható volt a BRFK teljes nevesített személyzeti állománytáblája, továbbá a rendvédelmi szolgálati jogviszonyváltásra vonatkozó teljes személyügyi anyag elektronikus másolatban. Az incidenssel érintett személyek számát 1733 főben jelölték meg, amely a rendvédelmi alkalmazotti jogviszonnyal érintett teljes állományt takarja. Az adathordozó, valamint az azon található állományok semmilyen hozzáférésvédelemmel (pl. jelszó, titkosítás) nem voltak ellátva. Az adathordozón nem szerepelt egyébként olyan anyag, amely más forrásból ne lett volna helyreállítható.

A bejelentési határidő számításával kapcsolatos megállapítások 

Az incidenskezelés időrendje az alábbi volt a vizsgált ügyben: 

  • 2019. január 11-én (péntek), a pendrive elvesztését incidens észlelése után jelentették a közvetlen szolgálati elöljárójának, 
  • az incidensről szóló jelentést 2019. január 14-én (hétfő) 07:30-kor készült el, amelyet ezután leadtak a rendőrfőkapitányának,
  • ezt követően került sor az incidens körülményeinek tisztázása érdekében parancsnoki kivizsgálása elrendelésére,
  • az adatkezelő adatvédelmi tisztviselőjének az adathordozó elveszítésének körülményeit feltáró jelentés 2019. január 28-án 07:30-kor került átadásra,
  • a parancsnoki kivizsgálás befejezésére 2019. február 8-án került sor, 
  • az adatvédelmi tisztviselő a parancsnoki kivizsgálás befejezését követően 2019. február 8-án 13:50-kor kereste meg az ORFK-t, melyben állásfoglalást kért arról, hogy az adatvédelmi incidens az érintettek jogait és szabadságait érintően milyen szintű kockázattal jár,
  • az ORFK vonatkozó állásfoglalása 2019. február 12-én 15:45-kor került kézbesítésre az adatkezelő (BRFK) részére,
  • az adatkezelő 2019. február 25-én adta fel postai úton az incidesbejelentésre szolgáló, kitöltött formanyomtatványt, amely 2019. február 28-án érkezett meg a Hatósághoz. 

A Hatóság megítélése szerint az adatkezelő általi hivatalos tudomásszerzésnek a 2019. január 11-i időpont minősült, amikor a pendrive-ot elvesztő személy rövid úton jelezte az incidenst szolgálati elöljárójának. 

A Hatóság megítélése szerint a tudomásszerzés idejének megítélése szempontjából elég, ha olyan érdemi ügyintéző / elöljáró tudomására jut az incidens bekövetkezésének ténye az adatkezelőnél, aki azt nem maga okozta, és akinek minden lehetősége és eszköze megvolt a releváns döntéshozók, tisztviselő értesítésére. 

A Hatóság rögzítette, hogy az incidensről való tudomásszerzés és a bejelentés között összesen 45 nap telt el, amely az általános adatvédelmi rendelet által főszabályként előírt bejelentési határidő tizenötszörös túllépését jelenti.

A Hatóság nem fogadta el a késés kimentésére előadott indokokat a bejelentési határidő túllépésére, mert álláspontja szerint az adatkezelő az incidens bekövetkezésének összes körülményéről, és az érintett személyes adatok köréről már 2019. január 11-én tudomást szerzett. 

A NAIH kifogásolta azt is, hogy az adatvédelmi tisztviselő értesítése is késedelmesen, jóval az incidens észlelését követően történt meg. 

(Incidensek késedelmes bejelentésével kapcsolatban korábban is hozott már határozatot a NAIH: NAIH/2019/3854. Ebben az ügyben 100.000 Ft összegű bírságot szabott ki a Hatóság, mivel az adatkezelő tudomásszerzése és az adatvédelmi incidens bejelentése között 24 nap telt el.)

A kockázatok értékelése, bejelentés mellőzhetősége

A NAIH elfogadhatónak értékelte az elkészült kockázatértékelést, egyetértett azzal, hogy az incidens kockázatos besorolását az adja, hogy a pendrive-on tárolt adatok között megtalálhatóak voltak nem nyilvánosan hozzáférhető, illetve nem közérdekből nyilvános adatok is, így az érintettek születési adatai, anyjuk neve és TAJ száma. 

A Hatóság elfogadta azt is, hogy az adatvédelmi incidens fogalmának elemei közül csak az adatok elveszítése valósult meg az ügyben, mivel másfajta incidens megvalósulására (pl. jogosulatlan hozzáférés, nyilvánosságra hozatal) nem utalt konkrét körülmény. A további bizalmassági sérülésnek való kitettség kockázata azonban fennállt az ügyben, mivel az adathordozó és azon tárolt adatok nem voltak semmilyen technikai intézkedéssel védve a jogosulatlan hozzáféréstől. Az ilyen adatok megfelelő védelem nélküli elveszítése ezért önmagában is kockázatos adatvédelmi incidenst eredményez, akkor is, ha egyébként az azokhoz való jogosulatlan hozzáférés, nyilvánosságra hozatal, vagy az adatokkal való egyéb visszaélés ténye nem is állapítható meg.

A bejelentés mellőzhetőségével kapcsolatban fontos támpont lehet a Hatóság megállapítása, miszerint a bejelentés főszabály szerint kötelező, csak akkor mellőzhető, ha valószínűsíthető, hogy az incidensnek semmilyen kockázata nincs az érintettekre nézve. Ugyanakkor, ha az incidens kockázatának megítélése nehézséget jelent (pl. a jelen ügyben a felettes szervtől kért iránymutatást ehhez az adatkezelő), az önmagában arra utal, hogy a bejelentés mellőzésének nem álltak fenn a feltételei.

A NAIH marasztaló döntése

A NAIH az adatvédelmi hatósági eljárásban hozott határozatában az alábbiakat rögzítette: 

  • megállapította, hogy az adatkezelő az adatokat tartalmazó pendrive elvesztésével okozott adatvédelmi incidenssel összefüggésben nem tett eleget a GDPR 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének;
  • 5.000.000 Ft összegű adatvédelmi bírságot szabott ki;
  • felhívta az adatkezelőt, hogy 30 napon belül tegye meg a szükséges intézkedéseket annak érdekében, hogy egy esetleges jövőbeni adatvédelmi incidensek bejelentése az általános adatvédelmi rendelet 33. cikk (1) bekezdésében előírt határidőben valósuljon meg; és
  • elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.  

Bírságkiszabás során figyelembe vett körülmények

Súlyosbító körülményként került értékelésre, hogy

  • az incidenssel érintett személyes adatok kezelése az adatok jellegéből, illetve az érintettek köréből fakadóan magasabb kockázattal jár, mivel azoknak a jogosulatlan megismerése jelentős következménnyel járhat az érintettek számára, és az ilyen kategóriájú személyes adatokra vonatkozó jogsértés esetén súlyosabb szankcionálás lehet indokolt, 
  • az adatkezelő nem csupán az adatvédelmi incidens Hatóság részére történő bejelentésének nem tett eleget indokolatlan késedelem nélkül, hanem azzal kapcsolatos intézkedések megtételéről – így különösen a kockázatelemzésről – is csak az incidensről való tudomásszerzést követő 27. napon, 2019. február 8-án intézkedett, ráadásul ezt nem is saját hatáskörben végezte el, hanem azt gyakorlatilag a felettes szervével végeztette el,
  • az adatkezelő incidenskezelése továbbá nem csak a GDPR, hanem az adatkezelő saját belső incidenskezelési eljárásrendjének sem felelt meg. 

Enyhítő körülményként vette figyelembe a Hatóság, hogy

  • az incidens bekövetkezése nem vezethető vissza az adatkezelőnél fennálló komolyabb adatbiztonsági problémára, mivel az adatok elvesztése – a belső informatikai biztonsági szabályzat megsértésével elkövetett –munkavállalói gondatlanság eredménye,
  • az adatkezelő, bár nem indokolatlan késedelem nélkül, de bejelentette a Hatóság számára az adatvédelmi incidenst, és az egyéb, az adatvédelmi incidenst követően hozott intézkedései is elfogadhatóak a kockázatok csökkentése érdekében.

A kiszabott bírság kapcsán fontos jelezni, hogy az Infotv. 61. § (4) bekezdés b) pontja alapján, a bírság mértéke  - eltérően a GDPR-ban szereplő bírságlimitektől - 20 millió forintig terjedhet, ha a kiszabott bírság megfizetésére kötelezett költségvetési szerv.

Kell-e az adatkezelőnek bírságot fizetni függetlenül attól, hogy megkerült a pendrive? 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8914945928

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása