//

CÍMKEFELHŐ
gazdasági szakkiadó | hivatalos állásfoglalás | adó | pénzügy | gazdasági folyóirat | szakkönyv | jogszabálykereső | kommentár | letölthető szerződésminták | tudástár | tanácsadás | gazdasági kiadványok | gazdasági konferencia | ingyenes számviteli tanácsadás | könyvelők kötelező továbbképzése | kötelező kreditpontok 2019 | közlöny | kormányrendelet | céginformáció

JOGSZABÁLYVÁLTOZÁSOK - JOGSZABÁLYI KÖRKÉP

A Budapesti Rendőr-főkapitányság adatvédelmi bírságának konklúziói

2019. június 25-én a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) meghozta határozatát a Budapesti Rendőr-főkapitányság (BRFK) adatvédelmi incidensét vizsgáló hatósági eljárással kapcsolatban, melyben 5.000.000,- Ft, azaz ötmillió forint adatvédelmi bírság megfizetésére kötelezte az adatkezelőt. Jelen cikkben – észrevételeink mellett – a döntés részleteit ismertetjük.

2019. augusztus 13.

Előzmények

 

2019. február 25-én adatvédelmi incidenssel kapcsolatos bejelentés érkezett a NAIH-hoz. A bejelentés szerint a BRFK egyik alkalmazottja 2019. január 11-én szolgálati feladatai ellátása során elveszítette az általa adattárolásra használt 4 GB tárhellyel rendelkező pendrive-ot. Az adathordozóban megtalálható volt a BRFK teljes személyzeti állománytáblája, illetve rendvédelmi szolgálati jogviszonyváltásra vonatkozó teljes személyügyi anyag elektronikus másolatban.

 

Az incidenssel érintett személyek számát 1733 főben jelölte meg a BRFK. Az adathordozó, illetve a rajta található állomány semmilyen hozzáférésvédelemmel nem volt ellátva. Az adathordózón található információkból az 1733 érintett személy alábbi személyes adatai voltak megismerhetők: születési név, születési idő, anyja neve, TAJ szám, beosztás, munkakör.

 

Azzal, hogy az alkalmazott személyes adatokat másolt át a magáncélra használt adathordozóra, megszegte a BRFK Informatikai Biztonsági Szabályzatáról szóló 18/2018. (V. 31.) ORFK utasítás több pontját, erre tekintettel a BRFK fegyelmi eljárást indított a pendrive-ot elvesztő személlyel szemben. A BRFK álláspontja az alkalmazott az adatokat amiatt másolta át a pendrive-ra, mert 2019. február 1-jétől a rendvédelmi feladatokat ellátó szervek hivatalos állománya rendvédelmi igazgatási szolgálati jogviszonyban került tovább foglalkoztatásra.

 

Azon a vezetői értekezleten, amelyen részt vett az incidenst okozó személy, a munkáltatói jogkört gyakorló vezetők részére bemutatásra került az a tervezet, amely alapján az állománytáblában feltüntetett személyek rendvédelmi igazgatási szolgálati jogviszonyban történő jogviszonyváltása lehetővé vált.

 

Tényállás

 

A NAIH tényállástisztázó végzésére adott válasz alapján a pendrive elvesztésére egy 2019. január 10-11. között tartott vezetői értekezleten került sor, melyen a pendrive-ot elvesztő személy használta az adathordozót.

 

A január 10-i értekezlet után az alkalmazott a pendrive-ot az autója indítókulcsán helyezte el, mely indítókulcsot a szállodai szobájába vitte. 2019. január 11-én a szállodából kijelentkezve Budapesti szolgálati helyére távozott, ahol észlelte, hogy az adathordozó nincs a kulcskarikán. A pendrive elvesztésének tényét és körülményeit még aznap jelentette telefonon a közvetlen elöljárójának. Az adathordozót elvesztő személy a megtalálás érdekében mindent megtett, azonnal visszatért a szállodába, felvette a kapcsolatot a szállodai szobát vele együtt használó személlyel, de a keresési intézkedései nem vezettek sikerre.

 

Nem jutott a BRFK tudomására semmilyen információ arról, hogy az adathordozón található adatokhoz bárki jogosulatlanul hozzáfért volna. A nem megfelelően védett adatok elvesztésén túl más biztonsági esemény valószínűleg nem történt. Az adathordozót elvesztő személy az incidensről készített jelentést 2019. január 14-én készítette el és azt leadta Budapest rendőrfőkapitányának. Ezt követően parancsnoki kivizsgálás elrendelésére került sor, mely lezárására 2019. február 8-n került sor. A BRFK adatvédelmi tisztviselője az incidensről készített jelentést csupán 2019. január 28-án kapta meg.

 

A parancsnoki kivizsgálás lezárását követően a BRFK az ORFK-t vélemény kérése céljából megkereste azzal kapcsolatban, hogy az incidens az érintettek jogait és szabadságait milyen szinten veszélyezteti. Az ORFK 2019. február 12-én kézbesítette a vonatkozó állásfoglalását az ügyről. A BRFK csak azután jelentette az incidenst a NAIH-nak, hogy az ORFK javaslatára elvégzett kockázatelemzés alapján az incidens kockázattal járt az érintettek jogaira és szabadságaira nézve.

 

Döntés

 

A Hatóság állásfoglalása alapján az ügy kockázatát az adja, hogy az adathordozón nem nyilvánosan hozzáférhető és nem közérdekből nyilvános adatok is megtalálhatók voltak. Ez olyan tényező, amely indokolja az incidens bejelentését az általános adatvédelmi rendelet (GDPR) 33. cikk (1) bekezdése alapján.

 

A GDPR szerint kockázatos az adatkezelés, ha abból személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat. Az ügyben a NAIH mérlegelte, hogy csak adatvesztés valósult meg és visszaélésre nem utalt konkrét körülmény. A GDPR 33. cikk (1.) bekezdése által meghatározott határidőben, vagyis tudomásszerzéstől számított 72 óra alatt bejelentés nem történt a Hatóság felé. A Hatóság szerint a tudomásszerzési idő akkor kezdődött, amikor a pendrive-ot elvesztő személy az incidenst jelentette a közvetlen szolgálati elöljárójának, vagyis 2019. január 11-én, az elvesztés napján.

 

A BRFK számára ettől az időponttól kezdve 72 óra ált rendelkezésre az incidens kockázatainak mérlegelésére és a Hatóság felé történő bejelentésre.
Ehhez képest az incidens bejelentésére 2019. február 25-én került sor.  Ezek alapján az incidensről való tudomásszerzés és a bejelentés között összesen 45 nap telt el, amely az általános adatvédelmi rendelet által főszabályként előírt bejelentési határidő tizenötszörös túllépését jelenti. Kimentési okként a késedelmes bejelentés igazolására a BRFK azt jelölte meg, hogy teljes körű parancsnoki kivizsgálás zajlott és az ORFK állásfoglalását is ki kellett kérni. A

 

Hatóság ezen indokokat nem fogadta el arra hivatkozva, hogy a BRFK számára a tudomásszerzési időtől kezdve rendelkezésre állt a kockázatértékeléshez szükséges összes tény és körülmény.

 

A Hatóság hangsúlyozta, hogy főszabály szerint a bejelentés kötelező és csak akkor mellőzhető, ha az incidens semmilyen kockázattal nem jár. Azzal, hogy az incidens kockázatainak hosszas mérlegelésére sor került, bizonyított, hogy a bejelentés mellőzésének feltételei nem álltak fenn. A Hatóság elfogadta azt a hivatkozást, hogy az ORFK válaszát feltétlenül be kellett várni, de annak megérkezése (2019. február 12.) és a bejelentés (2019. február 25.) között eltelt 13 nap szintén többszörösen túllépi a bejelentési határidőt.

 

Az incidens időben történő bejelentése előtt az sem lehete akadály, ha nem állnak rendelkezésre pontos információk, mivel az általános adatvédelmi rendelet 33. cikk (4) bekezdése lehetővé teszi, hogy a bejelentésre részletekben, szakaszosan kerüljön sor. A Hatóság véleménye szerint az incidenst okozó személy megfelelően járt el azzal, hogy az elvesztés napján jelentette az esetet a szolgálati elöljárójának, így neki csak a BRFK informatikai biztonsági előírásainak megszegése róható fel. A Hatóság kiemelte, hogy a BRFK incidenskezeléssel kapcsolatos saját belső eljárásrenddel rendelkezik, amelyben foglalt legalább 3 pont az incidens során megszegésre került.

 

A megállapított szankció

 

A fentiek alapján a Hatóság megállapította, hogy az Ügyfél megsértette az általános adatvédelmi rendelet 33. cikk (1) bekezdésében foglalt kötelezettségét, mivel az alapvetően kockázatos adatvédelmi incidenst nem jelentette be a tudomásszerzést követően indokolatlan késedelem nélkül. A Hatóság ezen körülmények mérlegelését követően hatósági bírság kiszabását rendelte el, mely összegének meghatározása során figyelembe vette az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) 61. § (4) b) pontját, melynek alapján költségvetési szervek esetében a bírság mértéke százezertől húszmillió forintig terjed.

 

A NAIH súlyosító körülményként értékelte az incidenssel érintett személyes adatok jellegét, mivel munkavállalók és szolgálati jogviszonnyal rendelkezőkre vonatkozó információk jogosulatlan megismerése jelentős következményekkel járhat az érintettekre nézve, így az ilyen jellegű személyes adatok kezelése kapcsán az adatkezelőknek fokozott elővigyázatossággal kell eljárniuk.  

 

Továbbá súlyosító körülmények voltak a BRFK részéről, hogy az incidenst nem jelentette be jogszabályban meghatározott határidőn belül a NAIH-nak, az incidenshez kapcsolódó intézkedéseket jelentős késedelemmel, a felettes szervével végeztette el, valamint saját incidenskezelési eljárásrendjét is jelentős mértékben megszegte.

 

A Hatóság enyhítő körülményként jelölte meg, hogy az incidens bekövetkezése nem a BRFK-nál fennálló adatbiztonsági problémára, hanem munkavállalói gondatlanságra volt visszavezethető. A NAIH azt is enyhítő körülményként értékelte, hogy a BRFK – késedelemmel ugyan, de – bejelentette az incidenst és az incidenst követő intézkedései is elfogadhatók voltak.

 

Észrevételeink

 

Adatvédelmi incidensek csoportosítása

 

Az adatvédelmi incidensek kezelésével kapcsolatban az Európai Adatvédelmi Testület jogelődje, a 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) WP250. számú iránymutatása (Iránymutatás) foglalkozik.

 

Az Iránymutatás alapján az adatvédelmi incidensek az alábbi három információbiztonsági elv alapján kategorizálhatók;
•    „titoksértés”: személyes adatok jogosulatlan vagy véletlen közlése vagy az ilyen adatokhoz való jogosulatlan vagy véletlen hozzáférés;
•    „sértetlenségi adatsértés”: személyes adatok jogosulatlan vagy véletlen módosítása;
•     „hozzáférhetőségi adatsértés”: a személyes adatokhoz való hozzáférés véletlen vagy jogosulatlan elvesztése vagy a személyes adatok véletlen vagy jogosulatlan megsemmisítése.

 

 

Az incidens a körülményektől függően egyidejűleg vagy bármilyen kombinációban érintheti a személyes adatok titkosságát, sértetlenségét és hozzáférhetőségét.

 

Teendők adatvédelmi incidens esetén

 

A GDPR-ban rögzített „beépített és alapértelmezett védelem” elvéből levezethető az adatkezelőknek azon kötelezettsége, hogy olyan technikai és szervezési intézkedéseket hajtsanak végre, amelyek garantálják a kockázat mértékének megfelelő adatbiztonsági szintet. Ez nem csupán a kockázatot jelentő események megelőzését, hanem az ilyen jellegű, jövőben bekövetkező események hatékony kezelését érintően is rögzít kötelezettségeket. Utóbbiakkal – tehát a bekövetkezett események kezelésével – foglalkoznak az adatvédelmi incidensekre vonatkozó előírások a GDPR 33. és 34. cikkében.

 

A GDPR 3 fő kötelezettséget nevesit az adatvédelmi incidensekkel kapcsolatban: nyilvántartásba vétel, bejelentés felügyeleti hatóságnak, érintettek tájékoztatása. Ezekhez tartozik a bekövetkezett incidensekkel járó kockázatok értékelése, illetve a kockázatok csökkentéséhez szükséges intézkedések megtétele.

 

A BRFK-ügyében hozott határozatból látható, hogy nem elegendő az adatvédelmi incidensekre kialakított belső eljárásrend megléte; a jogi megfeleléshez a – GDPR-al összhangban lévő – belső szabályok szerint kell eljárni a gyakorlatban. Emellett kiemelendő, hogy adatvédelmi incidens esetén első körben az adatkezelő adatvédelmi tisztviselőjét kell értesíteni; ennek a személynek tartozik feladatkörébe és kompetenciájába a javaslattétel az incidensek kezelésével járó intézkedésekre vonatkozóan.

 

Dr. Miklós Péter Ákos, jogász és adatvédelmi tisztviselő
Barazutti Bálint, jogi munkatárs

Dobos és Kőhidi Ügyvédi Társulás
    

 

 

További hírek