GDPR

Adatvédelem mindenkinek / Data protection for everyone

Sokba került az egészségügyi adatokat is tartalmazó várandósgondozási könyvek másolása

2021. február 10. 11:30 - poklaszlo

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az egyik esetben 60 millió Ft összegű adatvédelmi bírságot állapított meg a Hatóság a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt (erről itt írtam részletesen). A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Az alábbiakban a babaváró kölcsönnel összefüggésben végzett adatkezeléssel kapcsolatos határozatot foglalom össze. 

Babaváró kölcsönnel összefüggésben végzett adatkezelés (NAIH/2020/2546/15.)

1. Tényállás 

A vonatkozó adatkezelésre a babaváró támogatásról szóló 44/2019. (III.12.) Korm. rendelet (a "Korm. rendelet") szerinti támogatással összefüggésben került sor, amely alapján a támogatott személyek jogosultak a törlesztés szüneteltetésére – egyéb feltételek teljesülése mellett –, a várandósság betöltött 12. hetét követően, ideértve a szülést követő időszakot is, vagy ha közösen fogadnak örökbe gyermeket. A törlesztés szüneteltetése és a gyermekvállalási támogatás iránti kérelmet a hitelintézethez kell benyújtani, amely kérelemhez mellékelni kell a Korm. rendelet 9. § (2) bekezdés b), illetve c) pontjában meghatározott iratokat. 

Az adatkezelő a törlesztés szüneteltetéséhez és gyermekvállalási támogatás igényléséhez ugyanazt a formanyomtatványt rendszeresítette. Ezen kérelmekhez - többek között - a várandósgondozási könyv, az örökbefogadást engedélyező végleges határozat, halva születés vagy vetélés esetén az ennek megtörténtét igazoló okirat eredetijének bemutatását követelte meg, amelyekről másolatot készített.

Az adatkezelő a hatósági ellenőrzés megindításáról szóló végzésének kézhezvételét követően felülvizsgálta az eljárásrendjét és a megkereséssel érintett formanyomtatványokat. "Ennek keretében megszüntette a várandósgondozási könyvek, az örökbefogadást engedélyező határozatok, a vetélést vagy halva születést igazoló dokumentumok másolását, és ezen adatok, körülmények igazolására külön igazolásmintákat készített, amelyeken a támogatott nyilatkozik a bemutatott dokumentumok alapján a Korm. rendelet által rögzíteni rendelt adatok helyességéről." (Határozat, 5. o.)

A felülvizsgálat nyomán a korábban készített másolatok törlését és megsemmisítését az adatkezelő megkezdte, ezt a Hatóság végzésére tekintettel függesztette fel az eljárás lezárultáig. 

2. Megállapított jogsértések 

A Hatóság megállapította, hogy az adatkezelő

  • megsértette a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elvét, azzal, hogy a várandósgondozási könyvekről, illetve zárójelentésekről készített másolatokban olyan személyes, köztük egészségügyi adatokat is kezelt, amelyek az adatkezelési cél eléréséhez nem voltak szükségesek;
  • jogalap nélkül kezelt a várandósgondozási könyvekről, illetve zárójelentésekről készített másolatokban rögzített személyes adatokat, köztük egészségügyi adatokat is, megsértve ezzel a GDPR 6. cikk (1) bekezdését, illetve az egészségügyi adatok vonatkozásában a GDPR 9. cikk (1) bekezdését;
  • nem nyújtott egyértelmű és átlátható tájékoztatást az érintettek részére a babaváró kölcsön igénylése és a létrejött kölcsönszerződések fennállása alatt végzett adatkezeléséről, megsértve ezzel a GDPR 12. cikk (1) bekezdését.

Az adatkezelés szükségessége (adattakarékosság) körében megállapította a Hatóság, hogy "[a] Korm. rendelet 14. § (4) bekezdése és 19. § (5) bekezdése úgy rendelkezik, hogy a törlesztés szüneteltetésére, illetve a gyermekvállalási támogatás igénybevételére vonatkozó kérelmet a babaváró kölcsönt nyújtó hitelintézethez kell benyújtani, amelyhez mellékelni kell a Korm. rendelet 9. § (2) bekezdés b) és c) pontja szerinti iratokat. A Korm. rendelet nem definiálja, hogy a benyújtás kifejezés hogyan értendő, a kérelem benyújtásakor a bankfiókban való bemutatásként vagy az irat másolatának a kérelemhez csatolásként. Figyelemmel a Korm. rendelet 9. § (2) bekezdés b) pontjának megfogalmazására, amely csak a várandósság betöltött 12. hetének és a szülés várható időpontjának igazolását írja elő, valamint arra, hogy 2020. június 13-tól a Korm. rendelet 9. § (2) bekezdés b) pontja szerint a fenti adatok a 2. számú mellékletben meghatározott tartalmú, szülésznőgyógyász szakorvos által kiállított igazolással is igazolhatók, a Hatóság álláspontja szerint a benyújtás szűkebb értelemben, bemutatásként értelmezendő." (Határozat, 10. o., (29) pont, kiemelés tőlem)

A Határozat megállapítja, hogy a várandósgondozási könyv - jogszabály által meghatározott - tartalma jóval tágabb, mint amely adatra a Korm. rendeletben foglalt feltételek igazolása érdekében szükség van, többek között egészségügyi adatokat tartalmaz, ráadásul az esetleges korábbi szülésre vonatkozó adatok is szerepelnek benne (lásd Határozat, 10-11. o., (31) ponttól). A Hatóság megvizsgált néhány másolatot, amely alapján arra jutott, hogy az egyes fiókok másolási gyakorlata nem volt egységes, volt ahol a teljes várandósgondozási könyvet lemásolták, máshol csak a természetes személyazonosító adatokat és a szülés várható időpontját tartalmazó oldalakat, de előfordult olyan másolat is, amely kizárólag a várandósgondozási könyv azon oldaláról készült, amelyen a szakorvos megjelöli a szülés várható időpontját. Előfordultak a cél elérésére alkalmatlan másolatok is a vizsgált mintában, nevezetesen olyanok, amelyek éppen azokat az oldalakat nem tartalmazták, amelyeken a szülés várható időpontja szerepelt, vagy amelyből kiszámolható lett volna a várandósság 12. hete (Határozat, 11. o., (37) pont).

A fentiekre tekintettel a Hatóság arra a következtetésre jutott, hogy egyes adatok,

[...] különösen az egészségügyi adatok kezelése nem szükséges ahhoz, hogy a várandósság 12. hetének betöltését és a szülés várható időpontját a támogatottak az Ügyfél felé igazolják, azaz az Ügyfél által a várandósgondozási könyvek másolataiban kezelt adatok – ide nem értve a szülés várható időpontját, és a várandósság betöltött hetére vonatkozó bejegyzést – az adatkezelés céljának elérésére nem megfelelőek és nem relevánsak, azok a szükséges adatkörön jelentősen túlterjeszkednek, ezért a Hatóság megállapítja, hogy az Ügyfél megsértette a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elvét. (Határozat, 12. o., (38) pont, kiemelés tőlem)

A vetélésről kiállított zárójelentések kapcsán is megállapítható volt, hogy olyan adatokat tartalmaznak, amelyek a Korm. rendelet szerinti feltételek ellenőrzése szempontjából nem relevánsak, így szükségtelenek az adatkezelés célja szempontjából, ezek gyűjtése tehát az adattakarékosság elvének sérelmével járt.  

A várandósgondozási könyvekben szereplő adatok közül a várandósság betöltött 12. hetére, a szülés várható időpontjára vonatkozó adatokat, a házastársak természetes személyazonosító és kapcsolattartási adatait, valamint a várandós nő foglalkozására, iskolai végzettségére vonatkozó adatait jogszerűen kezeli az adatkezelő, valamennyi további, a várandósgondozási könyvekben szereplő adat, köztük egészségügyi adatok kezelése tekintetében viszont nem állt fenn megfelelő jogalap, így sérült a GDPR 6. cikk (1) bekezdése, valamint az egészségügyi adatok vonatkozásában a GDPR 9. cikk (1) bekezdése is. (Határozat, 14. o., (52) pont) Hasonló következtetésre jutott a Hatóság a vetélésről kiállított zárójelentések kapcsán is, amely esetében szintén sor került jogalap nélküli adatkezelésre. (Határozat, 14. o., (56) pont)

A tájékoztatás átláthatósága kapcsán is több jogsértést állapított meg a NAIH, így sérelmezte például azt, hogy az adatkezelési cél meghatározása túl tág, továbbá a kezelt adatok, adatkategóriák felsorolása sem volt átlátható, mivel nem csak az adott adatkezeléssel kapcsolatos, hanem bármely hitel- vagy kölcsönszerződés kapcsán kezelhető adatkörök megjelölésre kerültek. 

3. Bírság kiszabása és egyéb intézkedések 

A Hatóság a bírságkiszabás során súlyosbító körülményként vette figyelembe az alábbiakat:

  • A elkövetett jogsértések súlyos jogsértésnek minősülnek [GDPR 83. cikk (2) bekezdés a) pont], mivel (i) a megállapított jogsértések folyamatos jellegűek voltak, (ii) a jogsértés az érintettek nagy számát érinti [GDPR 83. cikk (2) bekezdés a) pont], (iii) az ügy tárgya egy olyan pénzügyi konstrukció, amelyben az adatkezelő szerződéses partnerei családok, illetve egyébként is különleges élethelyzetben lévő nők, akik a legszemélyesebb élethelyzetükben, a gyermekvállalás során kerülnek kapcsolatba az adatkezelővel családjuk jövőjének egzisztenciális biztosítása érdekében. 
  • Az adatkezelő jelentős mennyiségű, a személyes adatok különleges kategóriáját képező egészségügyi adatot kezelt jogalap nélkül a várandósgondozási könyvekről készített másolatokban, illetve a két zárójelentésben [GDPR 83. cikk (2) bekezdés g) pont]. 

A Hatóság enyhítő körülményként vette figyelembe az alábbiakat:

  • Az adatkezelő a várandósgondozási könyvek másolataiban kezelt személyes adatok kapcsán elismerte, hogy azokat – ide nem értve a várandósság betöltött 12. hetére és a szülés várható időpontjára vonatkozó adatokat – jogellenesen kezelte és intézkedett a másolatok törléséről, illetve megsemmisítéséről. [GDPR 83. cikk (2) bekezdés c) pont];
  • Az adatkezelő felülvizsgálta a vonatkozó adatkezelési gyakorlatát, és megszüntette a várandósgondozási könyvek és zárójelentések másolását. [GDPR 83. cikk (2) bekezdés f) pont]
  • A Korm. rendelet nem rendelkezett teljeskörűen az adatkezelés kérdéseiről, nem határozta meg egyértelműen az adatkezelés módját (pl. a benyújtás szó alatt bemutatás vagy másolatkészítés értendő), ezáltal az adatkezelés kérdéseiben bizonytalan jogi helyzetet teremtett a babaváró kölcsönt nyújtó pénzintézeteknél. A Hatóság kiemelte, hogy "[...] ilyen esetben az adatkezelőnek az adatkezelést érintő döntések meghozatala során még körültekintőbben kell eljárnia az adatvédelmi jogszabályok és különösen az adatvédelem alapelveinek érvényre juttatása érdekében." (Határozat, 18. o.) [GDPR 83. cikk (2) bekezdés b) és k) pont].

A bírság megállapításán túl a Hatóság előírta az adatkezelőnek azt is, hogy - a Határozat véglegessé válásától számított 60 napon belül - 

  • törölje a még rendelkezésére álló várandósgondozási könyvekről és zárójelentésekről készített elektronikus másolatokat, a papír alapú másolatokat semmisítse meg,
  • alakítsa át a babaváró kölcsön igénylése, valamint a létrejött szerződések során végzett adatkezelésről nyújtott tájékoztatási gyakorlatát olyan módon, hogy az megfeleljen az átláthatóság követelményének (GDPR 12. cikk (1) bekezdés).

(A törlésre, illetve adatok megsemmisítésére vonatkozó rendelkezés nem hajtható végre a határozat megtámadására nyitva álló keresetindítási határidő lejártáig, illetve közigazgatási per indítása esetén a bíróság jogerős határozatáig.)

Szólj hozzá!
Címkék: bírság tájékoztatás portfolioblogger Magyarország NAIH HU okiratmásolat jogalap különleges adatok adattakarékosság egészségügyi adatok

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8816417894

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása