GDPR

Adatvédelem mindenkinek / Data protection for everyone

Bírság egészségügyi adatokat is érintő adatvédelmi incidens miatt

2020. december 02. 11:00 - poklaszlo

A NAIH által a közelmúltban közzétett határozatban 7,5 millió forint összegű adatvédelmi bírság került megállapításra különleges (egészségügyi adatokat) is érintő adatvédelmi incidenssel kapcsolatban. A határozat már tavasszal megszületett, de a bírósági felülvizsgálat lezárultára tekintettel csak néhány hete jelent meg a Hatóság honlapján. 

1. Tényállás

Az eljárás közérdekű bejelentés alapján indult, miszerint az adatkezelő által üzemeltetett weboldal időpontfoglaló rendszerében kezelt orvosi leletek és beutalók nyilvánosan hozzáférhetők, illetve letölthetők jogosultsággal nem rendelkező felhasználók részére is (a bejelentő képernyőfotóval dokumentálta is az esetet). (A bejelentő elmondása szerint az incidenst az adatkezelőnél is jelezte, de visszajelzést nem kapott, változást nem tapasztalt. A Hatóság többszöri kérése ellenére sem juttatta el a Hatóságnak az adatkezelőnek küldött értesítéseit.)

A Hatóság megállapításai szerint "[a] sérülékenység a https://bejelentkezes.hungariamed.hu/doc/, illetve a https://fogleu.hungariamed.hu/doc/ URL-eket érintette, ahol a betegek leleteit tartalmazó .pdf kiterjesztésű dokumentumokat tárolták. A webszerver a fenti speciális, /doc/ végződésű URL-ek meghívásával a kért időpontfoglaló felület megjelenítése helyett, a webszerveren található összes tartalmat kilistázta a képernyőre. Ez lehetővé tette, hogy a fenti linkek ismeretében bárki, bejelentkezés, vagyis az oldalon történő regisztráció nélkül hozzáférjen az online felületen tárolt személyes adatokat tartalmazó dokumentumokhoz." (Határozat, 3. o.) A fentiek alapján azt állapította meg a Hatóság, hogy a sérülékenység abból adódott, hogy az adatkezelő a szerverén nem megfelelő konfigurációs beállításokat alkalmazott.  

Az adatvédelmi incidenssel érintett rendszerben az adatkezelő kb. 15 000 személyes adatot kezel, köztük az adatkezelővel szerződéses jogviszonyban álló partnerek munkavállalóinak neve, születési helye- és ideje, anyja neve, TAJ száma, e-mail címe, telefonszáma, lakcíme, munkaköre, és egészségügyi adatai. Az érintettek személyes adatait az időpontfoglaló rendszerben először nyilvántartásba veszik, majd a vizsgálatokat követően leleteik is feltöltésre kerülnek, melyek a laborvizsgálati-, szakorvosi-, illetve foglalkozás-egészségügyi vizsgálataik eredményeit – ezen belül családi anamnézis adataikat is – tartalmazzák. (Egy későbbi nyilatkozat alapján az adatkezelő szerint 9.000 érintett esetében merülhetett fel a jogosulatlan hozzáférés kockázata.)

Az adatkezelő azt nyilatkozta a Hatóságnak, hogy 

  • az incidensről a hatósági megkeresésből értesült, 
  • korábban csak egy marketingjellegű üzenetet kapott, amely konkrétumokat nem tartalmazott az incidens kapcsán, 
  • egy rövid vizsgálatot végzett a fenti megkeresés alapján, de hibát nem tárt fel, 
  • a hatósági megkeresést követően végzett IT audit egyetlen sérülékenységet tárt fel, amely megszüntetésre került, a naplóadatokból (és más forrásból) sem merült fel jogosulatlan hozzáférés tényleges bekövetkezésére vonatkozó információ, 
  • az incidens kapcsán elvégzett kockázatértékelésben azt állapította meg, hogy - a jogosulatlan hozzáférés bekövetkezésének hiánya miatt - az valószínűsíthetően nem jár az érintettekre kockázattal, így a hatósági bejelentést és az érintettek tájékoztatását nem tartotta indokoltnak.   

Az adatkezelő naplózási gyakorlatának vizsgálata kapcsán megállapításra került, hogy az nem volt alkalmas az ügyben érintett jogosulatlan hozzáférések észlelésére. 

Az adatkezelő az IT auditot követően - a sérülékenység megszüntetésén kívül az alábbi intézkedéseket foganatosította:

  • az időpontfoglaló rendszer php alapú kódjai újratervezésre kerültek, a korábbi procedurális megközelítés objektumorientáltra került átdolgozásra,
  • sor került a könyvtárak titkosítására, a jogosultsági szintek és a felhasználói hozzáférések szigorítására,
  • felülvizsgálta fejlesztési elveit és politikáit, valamint
  • a fejlesztéssel foglalkozó kollégák infomációbiztonsági továbbképzését rendelte el.  

2. A Hatóság megállapításai 

Az adatvédelmi incidens kezelése kapcsán: 

  • az incidens bejelentésére nem került sor, 
  • az adatkezelő kockázatértékelése nem volt elfogadható ("[az], hogy az Ügyfélnek nem áll rendelkezésére arra vonatkozó bizonyíték, hogy az informatikai rendszerében fennálló sérülékenységet arra jogosulatlan személyek ténylegesen kihasználták volna, nem elegendő annak a megállapításához, hogy személyes adatokhoz való jogosulatlan hozzáférés nem történt", hiszen a naplózási gyakorlat alkalmatlan volt ennek megállapítására, lásd Határozat, 8. o.), 
  • az érintettek tekintetében a valószínűsíthető kockázat fennállását az adatok jellege (különleges adatok) és a visszaélés lehetősége (személyazonosság-lopás, vö. GDPR Preambulum (75)) is indokolta volna, 
  • a bejelentés elmulasztása tehát a GDPR 33. cikk (1) bekezdésének a megsértését jelenti, 
  • az érintettek tájékoztatásának elmulasztása pedig a GDPR 34. cikk (1) bekezdésének a sérelmét jelenti. 

Az érintetti tájékoztatás szükségessége körében az alábbiakat állapította meg a Hatóság:  

Az incidensről való tájékoztatásra a Hatóság megítélése szerint kifejezetten azért is van szükség, mivel az érintett magánszférájára jelentett kockázat a személyazonosításra alkalmas adatok (név, születési idő, születési hely, anyja neve, TAJ szám, lakcím, e-mail cím, telefonszám) nyilvánosságra kerülése esetén olyan jellegű (ezen adatok birtokában elkövethető személyazonossággal visszaélés), amelynek kockázatai – az általános adatvédelmi rendelet (85)- (86) preambulumbekezdéseiben foglaltaknak megfelelően – csak úgy mérsékelhetők eredményesen, ha az érintettek erről tudomással bírnak, és megtehetik az általuk szükségesnek tartott további intézkedéseket. Ezen felül az egészségügyi adatok érintettsége is magas kockázatú adatvédelmi incidenst eredményez, mivel ezek ismerete alapot szolgáltathat hátrányos megkülönböztetésre, de akár az érintett magán- és családi életét is befolyásolhatja, ami miatt szintén indokolt az érintettek tájékoztatása. (Határozat, 8-9. o.)

Az adatbiztonsági intézkedések kapcsán: 

  • a kezelt adatokhoz való hozzáférések tekintetében az adatkezelő  nem tudta kimutatni, hogy azokhoz vajon kívülről hányan férhettek hozzá jogosulatlanul, 
  • naplózási rendszere nem mutatott ki ilyen hozzáféréseket, valamint az általa alkalmazott egyéb eszközök (hardveres és szoftveres tűzfalak, hálózatbiztonsági program) sem jeleztek, 
  • az adatkezelő nyilatkozata szerint ugyan minden pdf letöltést naplóznak (regisztrációhoz kötöttet és regisztráció nélkülit is), de mégsem tudnak a releváns időszakban külső hozzáférést kimutatni (pedig a kezelt adatokhoz mind a Hatóság IT biztonsági munkatársa, mind a közérdekű bejelentő hozzáfért kívülről az adott időszakban). 

A külső hozzáférések, letöltések kimutatására való képtelensége miatt az adatkezelő megsértette a GDPR 32. cikk (1) bekezdésének b) pontját. Szintén ezen rendelkezés megsértése állapítható meg arra tekintettel, hogy az adatvédelmi incidenssel érintett rendszerben fennálló sérülékenység a nem megfelelő biztonsági beállítások miatt valósulhatott meg, amely lehetővé tette, hogy az oldalra mutató link ismeretében bárki, az oldalon történő regisztráció nélkül hozzáférjen az online felületen tárolt személyes adatokat tartalmazó dokumentumokhoz. 

3. Bírság

A fentiekre tekintettel 7,5 millió Ft összegű bírságot állapított meg a Hatóság, figyelembe véve azt is, hogy a megállapított jogsértések a GDPR 83. cikk (4) bekezdés a) pontja szerint az alacsonyabb összegű bírságkategóriába tartozó jogsértésnek minősülnek. 

A Hatóság súlyosbító körülményként vette figyelembe a következőket (Határozat, 10. o.):

  • az incidenssel érintett személyes adatok kezelése az adatok jellegéből fakadóan magasabb kockázattal jár, az adatkezelő ennek ellenére nagyszámú személyes adat, – köztük egészségügyi adatok – kezelésére használt rendszere folyamatos bizalmas jellegének biztosítása érdekében nem hozott megfelelő intézkedéseket. Az adatkezelő továbbá nem tette meg az incidens bejelentésével és az érintettek tájékoztatásával kapcsolatban szükséges intézkedéseket [GDPR 83. cikk (2) bekezdés a) pont], 
  • az adatkezelő a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott,  annak ellenére, hogy az ilyen adatok kezelésére való biztonsági felkészültség, az egészségügyi tevékenységet fő tevékenységként kifejtő, profit alapú vállalkozásoktól fokozottan elvárható. [GDPR 83. cikk (2) bekezdés d) pont], 
  • a jogsértés személyes adatok különleges kategóriáit is érinti [GDPR 83. cikk (2) bekezdés g) pont], 
  • a Hatóság az adatvédelmi incidensről közérdekű bejelentés alapján szerzett tudomást, az Ügyfél által az adatvédelmi incidens bejelentésére nem került sor, annak ellenére sem, hogy a Hatóság megindította hatósági ellenőrzését, majd a jelen hatósági eljárást az Ügyféllel szemben [GDPR 83. cikk (2) bekezdés h) pont].

Enyhítő körülmények (Határozat, 11.o.):

  • nem merült fel olyan információ, amely szerint az érintetteket a jogsértés nyomán kár érte volna [GDPR 83. cikk (2) bekezdés a) pont], 
  • a tényállásból arra lehet következtetni, hogy a jogsértés nem volt szándékos, azt az adatkezelő gondatlansága okozta (erre utal az is, hogy az adatkezelő az incidensről való tudomásszerzést követően azonnal intézkedéseket tett a feltárt sérülékenység megszüntetése érdekében) [GDPR 83. cikk (2) bekezdés b) pont]. 

4. Bírósági felülvizsgálat 

Az adatkezelő a jogsértés tényét nem vitatta, hanem az alkalmazott szankciót kifogásolta. A bíróság az adatkezelő keresetét elutasította tekintettel arra, hogy a bíróság álláspontja szerint a Hatóság - a mérlegelési jogkörében hozott - döntést kellően indokolta, illetve megjelölte, hogy mely szempontokat vette figyelembe a bírság kiszabása során. A bíróság megállapította, hogy a Hatóságnak nincs olyan kötelezettsége, miszerint a bírság kiszabása során a GDPR 82. cikk (2) bekezdése szerinti összes szempontot értékelnie kellene, hanem a Hatóságnak kizárólag a releváns szempontok értékelését kell elvégeznie. 

(Az adatvédelmi incidensek kapcsán érdemes elolvasni a dr. Eszteri Dániellel, a NAIH munkatársával a Jógifórumon megjelent interjút.)

Szólj hozzá!
Címkék: bírság adatbiztonság portfolioblogger Magyarország NAIH HU adatvédelmi incidens bírósági felülvizsgálat különleges adatok

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr716293756

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása