A NAIH egy frissen közzétett határozatában 500.000 Ft összegű bírságot állapított meg adatbiztonsági hiányosságok és az incidensek bejelentésével kapcsolatos belső szabályozási mulasztások miatt. Az eset külön érdekessége, hogy az eljárás közérdekű bejelentésre indult, miután a bejelentő egy személyes adatokat is tartalmazó listát
ingatlanjának kertjében szedte össze […] a szél által odafújt egyéb papírszemetekkel együtt. A megtalált listát a beadványozó eredetben továbbította a Hatóság részére.(Határozat, 2.o.)
Egy könyvelő cég által az ügyfeleiről kezelt (személyes adatokat is tartalmazó) lista vált jogosulatlanul hozzáférhetővé. Az adatkezelés célja az volt, hogy a társaság ügyfelei részére a számviteli, könyvvizsgálói és adószakértői tevékenységre irányuló szolgáltatásait teljesíteni tudja, illetve az ügyfelekkel kapcsolatot tartson. Az adatokat a társaság a saját szerverén tárolja, amelyhez kizárólag az alkalmazottak és az IT feladatok ellátásával megbízott személy férhet hozzá (összesen 9 fő). Maga a fájl nem, csupán a szerverhez hozzáférő kliens számítógépek kerültek jelszavas védelemmel ellátásra. A lista az adatok esetleges változása esetén kerül frissítésre. A frissítés során a lista egy példányban kinyomtatásra kerül azzal, hogy azon a nyomtatás dátumát kézírással rögzítik és a többi listával együtt, időrendben lefűzve egy elzárt mappában őrzik, későbbi adategyeztetés céljából. A lista kikerüléséről a cégnek nem volt tudomása (belső, rosszhiszemű cselekményt feltételeztek emögött), így korábban incidenst sem állapítottak meg ezzel kapcsolatban.
Az ügyben a hatósági ellenőrzés során megállapítottakon túl a GDPR 32-34. cikkeiben foglalt kötelezettségek feltételezhető megsértése miatt indított a NAIH adatvédelmi hatósági eljárást.
2. A Hatóság megállapításai
Incidenskezelés
A Hatóság egyrészt értelmezte az incidenskezelésre vonatkozó GDPR szabályokat, tekintettel arra, hogy az incidensről az adatkezelő a NAIH megkereséséből szerzett tudomást:
A Hatóság eltekint ezért az Ügyfél az incidens utólagos bejelentésére való felszólításától, mivel a hatósági ellenőrzés, majd eljárás során sikerült tisztázni az incidens körülményeit és a megtett intézkedéseket. Jelen ügyben az érintettek jogai és szabadságainak védelmét nem növelné az incidens bejelentésére való utólagos felszólítás az azzal kapcsolatos hatósági eljárás lezárulta után. (Határozat, 8. o.)
Az érintettek értesítése kapcsán az alábbi szempontokat emelte ki a Hatóság:
- az incidensről való tájékoztatás azért szükséges, mivel "az érintett magánszférájára jelentett kockázat a személyazonosításra alkalmas adatok közül különösen a felhasználónév és titkosítatlan jelszó párok nyilvánosságra kerülése esetén olyan jellegű (ezen adatok birtokában nagyon könnyen elkövethető személyazonossággal visszaélés), amelynek kockázatai csak úgy mérsékelhetők eredményesen, ha az érintettek erről tudomással bírnak, és megtehetik az általuk szükségesnek tartott további intézkedéseket." (Határozat, 9. o.)
- "A felhasználók szempontjából szinte minden esetben magas kockázatú körülményként kell értékelni a Hatóság megítélése szerint, ha egy rendszerbe történő belépést szolgáló felhasználónév és jelszó titkosítatlan (vagy akár nem megfelelően, elavult technikai módszerrel titkosított) formában kerül nyilvánosságra. Ennek fő oka, hogy a felhasználók ugyanezeket az adatokat esetleg más (leginkább online, de akár offline) szolgáltatás használata során is használhatják. A felhasználók jellemzően nem generálnak minden egyes internetes szolgáltatáshoz önálló felhasználónevet és jelszót, hanem nagyon sokszor ugyanazokat (vagy bizonyos változatait) használják." (Határozat, 9. o.)
Tekintettel arra, hogy az adatkezelő jól ítélte meg az incidens kockázati besorolását és az érintetteket a tudomásszerzéstől számított 12 órán belül értesítette, így eleget tett a GDPR 34. cikkéből fakadó kötelezettségeinek.
Az adatkezelő - a tudomásszerzést követően - felvette az incidenst a nyilvántartásába (GDPR 33. cikk (5) bekezdés), így összességében az incidenskezelés keretében az adatkezelő a szükséges intézkedéseket megtette, további felszólítás irányába ezért nem volt indokolt.
Adatbiztonsági és szabályozási kérdések
A Hatóság több megállapítást is tett mind az incidens bekövetkezése előtti, mind az annak hatására megtett adatbiztonsági intézkedésekkel kapcsolatban.
A lista kinyomtatása kapcsán azt rögzítette a NAIH, hogy
- az adatkezelés biztonságát csökkentő intézkedésnek tekinthető, "ha az adatkezelő a szerverén tárolt fájlban szereplő ügyféladatokat a fenti módszerrel minden egyes adatfrissítés esetén kinyomtatja és azokat lefűzi egy mappába." (Határozat, 10. o.) (A nyomtatással az adatok illetéktelen, jogosulatlan megismerésének esélye növekszik. A listák kinyomtatása gyakorlatilag egy felesleges további adatkezelési műveletet eredményez.)
- "… az ügyféladatok tisztán elektronikus tárolása és azokról tisztán elektronikus biztonsági mentés készítése jobban garantálja az adatbiztonság követelményét és így a 32. cikk (1) bekezdésének való megfelelést." (Határozat, 10. o.)
- "... a papír alapú adatkezelésből fakadó adatvédelmi incidens pontos körülményeit, így hogy a lista pontosan hogyan kerülhetett ki az Ügyfél kezeléséből, azóta sem sikerült teljes körűen feltárni. Ezen papír alapú adatkezelés így az esetlegesen az Ügyfélnél előforduló más, hasonló adatvédelmi incidensek észlelését és pontos okaik feltárását is hátráltathatta." (Határozat, 10. o.)
Az incidens hatására az adatkezelő több adatbiztonsági intézkedés bevezetése mellett döntött:
- új jelszó házirend kialakítása,
- az egyes felhasználók belépésének és adatokhoz való hozzáférésének naplózása
- az egyes fájlokhoz való hozzáférések felhasználói jogosultságkezelése és korlátozása is részletesebben beállításra kerülhet a rendszerben,
- informatikai biztonsági szabályzat elkészítése.
A Hatóság a fenti intézkedéseket nagyrészt elfogadhatónak találta.
Az incidenskezelési szabályzat kapcsán azt a hiányosságot állapította meg a Hatóság, hogy a szabályzat nem tartalmazta a felügyeleti hatóságnak történő bejelentési kötelezettség esetkörét. E tekintetben a szabályozás kiegészítésre szorul, hogy összhangban legyen a GDPR 24. cikkében foglalt követelményekkel.
Az érintettek ügyfélkapus hozzáférési adatai kezelésének célja, jogalapja, arányossága
A NAIH jelen ügyben nem vizsgálta az adatkezelő - és általánosságban más könyvelőirodák - ügyfeleinek ügyfélkapus hozzáférési adatainak kezelését (mint az adatkezelő nyilatkozata szerinti bevett piaci gyakorlatot) és az azzal kapcsolatban felmerülő további adatvédelmi kérdéseket. Ugyanakkor ezek a Hatóság jelzése alapján a későbbiekben külön hatósági vizsgálat tárgyát képezhetik.
3. Bírságra vonatkozó döntés
A bírságkiszabás szükségessége kapcsán figyelembe vette a NAIH, hogy az incidens olyan adatbiztonsági hiányosságra vezethető vissza, amely az adatkezelő által papír alapon kezelt valamennyi ügyfélkapus elérhetőségek és egyéb ügyféladatok biztonságát veszélyeztethette. A nem megfelelő adatbiztonsági intézkedések, továbbá az adatvédelmi incidenskezelési szabályzat bejelentéssel kapcsolatos hiányossága rendszerszintű problémának tekinthetők.
A bírság összegének meghatározása során az alábbiakat vette figyelembe a Hatóság:
- jogsértések a GDPR 83. cikk (4) bekezdése szerint az alacsonyabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek,
- az adatkezelő nettó árbevételét,
- azt, hogy az adatkezelővel szemben korábban nem állapított meg a személyes adatok kezelésével kapcsolatos jogsértést, továbbá
- enyhítő körülményként, hogy a tudomásszerzést követően az adatkezelő az incidens kezelésével kapcsolatos szinte valamennyi előírt intézkedést azonnal megtett,
- súlyosító körülményként pedig azt, hogy "a megállapított adatbiztonsági hiányosságok egy magas kockázatú adatvédelmi incidens bekövetkezéséhez vezettek, amelynek eredményeképpen körülbelül 100 természetes személy személyes adatai (köztük személyazonossággal való visszaélésre alkalmas adatok) kerültek nyilvánosságra. A hiányosság így az érintettek jogai és szabadságaira jelentett kockázatok szempontjából magas besorolású incidenst eredményezett, amelyről az Ügyfél is csak a Hatóság eljárása kapcsán értesült." (Határozat, 12. o.).